サイバー攻撃被害｢お詫び｣で好感得る企業の特徴 隠すのが主流だが透明性の高い対応が理想的

すべての顧客や関係者がコーポレートサイトを見るとは限らない。もしDDoS攻撃（複数のコンピューターからウェブサイトやサーバに大量のデータを送付して負荷をかけるサイバー攻撃）の被害にあっていれば、サイト自体のアクセスもできなくなる。そのため、拡散性の高い組織外のチャンネルを使って正しい情報を周知することが重要な意味を持つ。

さらに、ボリューは被害発生当日からの13日間で19回にわたってリリースを更新。事故発生から2日後からは、現状について説明するライブ配信を毎日実施し、影響がおよぶ可能性のある顧客に向けたガイダンスも公開した。

しかも、事故発生直後にはCEOが自身の言葉でメッセージを発信。代表自らリーダーシップを取って進めていることを明確にしている。

また情報を公表するにあたっては、セキュリティの専門知識を持たない顧客にも「何となくわかった」と感じてもらえる形で情報を伝える必要がある。

その好例がスマホゲームを開発する企業、ビジュアルアーツだ。事故発生直後からSNSの公式アカウントで状況を随時報告したことに加え、復旧後に一連の事象について説明した概略図をユーザー向けに公開している。

セキュリティの専門知識がなくてもおおまかなイメージをつかむことができ、専門知識を持つ人にも起きた事象を理解できる内容で、ユーザーからも好意的な反応が得られたという。

「時系列でまとめるだけでは、どの場所でどんな障害が起きたのかをイメージしづらい。詳しいものでなくてよいので、図解などにすることは重要。ユーザーに理解してもらおうという姿勢がよかった」と辻氏は評価する。

セキュリティがブランディングになることが理想

セキュリティ事故発生時の積極的な情報公開について、国が後押しをする動きもある。2023年に関係省庁によって公表された「サイバー攻撃被害に係る情報の共有・公表ガイダンス」は、被害公表のあり方についてまとめた資料だ。

国からガイダンスが公表されたことは、企業の動きを後押しする要素として重要な意味を持つ。「ただし、国主導の動きはどうしてもスピードが遅くなるので、国と企業がどちらも取り組んでいくことが大切」だと辻氏はいう。

セキュリティ対策や、事故後の対応のあり方の意識を変えるためには、「セキュリティ対策がブランディングになる」環境が必要だと辻氏は話す。

「セキュリティはよく投資に例えられますが、実際の投資と異なり、どれだけ費用をかけても利益にはつながりません。それでも取り組むことにメリットを感じてもらうためには、セキュリティ対策に力を入れていることや、事故発生後の対応がきちんと行われたことが企業にとってのブランディングになる状態が理想です。そしてそのためには、社会が変化していくことが必要です」

酒井 麻里子：ITジャーナリスト／ライター