オーストラリアのSphere Public Relationsのマネージングディレクター、ルイーズ・ロバーツ氏によると、システム障害やサイバーインシデントは企業のブランド、株価、そして雇用に直接的な影響を与える可能性があるという。彼女はまた、収益の損失や罰金で「途方もない」金額が発生する可能性もあると指摘した。
そのため、CIOやCISOを含むITリーダーは、危機対応コミュニケーションの計画とインシデント対応に積極的に関与する必要があります。ロバーツ氏は、これらのリーダーが他の関係者と協力しながら関与することで、より効果的な危機対応につながると述べています。
「堅牢で回復力のあるインフラを構築し、あらゆるサイバーセキュリティ対策を講じることは当然必要です」とロバーツ氏は説明した。「しかし、IT部門を含め、全社がコミュニケーションに関与する必要があります。なぜなら、コミュニケーションは企業の将来に大きく影響するからです。」
参照: オーストラリアのITリーダーがデータ漏洩コストの増大に対して今すぐできること
ITリーダーは危機管理コミュニケーションに関与することが期待されている
オーストラリアでは近年、危機におけるコミュニケーションの失敗が相次いでいます。例えば、2023年に発生したオプタス社の全国ネットワーク障害では、同社は国民とのコミュニケーション不足を批判され、最終的にCEOが辞任に追い込まれました。
ロバーツ氏は、危機管理コミュニケーションの基本は「すべてを語り、真実を語り、そして今語る」ことだと述べた。しかし、実際にはそうはならないことが多く、収益の損失などの影響に加えて、組織にとって重大なブランドイメージの毀損という形で逆効果になる可能性があると付け加えた。
IT およびセキュリティ リーダーは、CEO と組織が問題を特定して修正するのを支援するという重要な役割を担っています。また、顧客や第三者など、影響を受ける主要な関係者との明確で正確かつ迅速なコミュニケーションをサポートする必要もあります。
CISOはサイバーセキュリティインシデント発生時に明確なコミュニケーションの役割を担う
オーストラリア通信局の情報セキュリティマニュアルは、インシデント発生時のコミュニケーションを支援および管理する責任をCISOに明確に与えています。サイバーセキュリティインシデント発生時のCISOの役割には、社内チームの対応方法と相互コミュニケーションの管理が含まれると規定されています。
ASDによると、「大規模なサイバーセキュリティインシデントが発生した場合、CISOは危機管理の役割を担う準備を整えておく必要があります。CISOは、状況を明確にし、社内外のステークホルダーと効果的にコミュニケーションをとる方法を理解している必要があります。」
ITおよびセキュリティリーダーが危機管理コミュニケーションを管理するために準備すべきこと
ITおよびセキュリティ責任者は、サイバーまたはテクノロジー危機対応のための最新のコミュニケーション計画を整備する必要があります。ロバーツ氏は、これは通常の危機対応計画とは別に策定し、ITおよびサイバー専門家からの専門的な意見を取り入れるべきだと述べています。
プレミアム: 計画停止チェックリストを使用して、計画された停止を管理します。
「サイバー攻撃のようなインシデントを、一般的な危機対応コミュニケーション戦略に組み込もうとする企業もあるかもしれませんが、それは実際には良い考えではありません。サイバー攻撃はほぼあらゆる分野に影響を及ぼし、しばしば非常に長期にわたる可能性があるため、通常の危機とは大きく異なります」とロバーツ氏は説明した。
計画は企業全体を巻き込み、トップから主導されるべきである
ベストプラクティスでは、CIO と CISO が、CEO や取締役会を含む企業全体の上級関係者と緊密に連携し、ストレスの多いインシデントの発生時に機能する、統一されたリーダーシップ主導の危機コミュニケーション計画を策定します。
ロバーツ氏は、現在、ITおよびセキュリティ部門のリーダーと取締役会の間には「若干の乖離」があり、CISOが取締役会に参加することはほとんどないと主張している。サイバーセキュリティにおいては、CEOと取締役会がトップレベルで危機対応コミュニケーション計画の実施に関与することが最善だとロバーツ氏は述べた。
組織は危機時の役割と責任を定義し、文書化する必要がある
組織は危機管理委員会を設置し、ITおよびセキュリティ責任者のコミュニケーション責任を含む役割と責任を文書化する必要があります。文書には、事業部門の代表者および外部アドバイザーの氏名と連絡先を記載する必要があります。
「eコマース企業にとって、時は金なり。一秒ごとに収益を失う可能性があります。計画には全員の連絡先情報を含める必要があり、攻撃が発見された際に何をすべきかを明確に把握できるよう、役割を明確に定義しておく必要があります」とロバーツ氏は述べた。
シナリオ演習と準備されたステートメントはリアルタイムで役立ちます
ITチームとセキュリティチームが危機時のコミュニケーション管理に備えるための最良の方法の一つは、危機シナリオ演習を実施することです。これらの演習は、必要なコミュニケーションを維持しながら危機に対処する企業の能力をストレステストします。
ロバーツ氏は、事前に準備された声明文を作成することを推奨しています。「これらはすぐに使えるテンプレートなので、いくつかの情報を入力するだけで済みます。事前に準備された声明文があれば、先手を打って、できるだけ早く情報を提供できるようになります」と彼女は述べています。
ITおよびセキュリティリーダーは危機管理コミュニケーションのメッセージングを改善できる
ITとセキュリティ部門からの強力な支援は、インシデント発生時のコミュニケーションをより強力かつ明確にします。例えばサイバーインシデントの場合、CISOではなくCEOが広報担当者となる可能性が高いものの、CISOは発生した事象についてどのように伝えるべきか、そして会社がどのように前進していくかについて、CEOに助言する上で深く関与できるとロバーツ氏は説明します。
「CEOが障害やサイバー攻撃について声明を出す時、彼らは自分が何を言っているのか全く理解していないことがよくあります」とロバーツ氏は述べた。「何が起こっているのかを説明する言葉の不足は、業界関係者から非常に批判されます。なぜなら、彼らの発言は意味をなさないし、実際にはほとんど何も明らかにしていないからです」と彼女は述べた。
準備をしておくとコミュニケーションがずっと楽になる
ロバーツ氏は、障害やサイバー攻撃といった技術関連の危機は、組織にとって「起こるかどうかの問題ではなく、いつ起こるかの問題」だと述べた。こうした事態が発生した際にIT部門とセキュリティ部門がコミュニケーションを円滑に進める最善の方法は、リーダーシップを発揮し、事前に準備を整えることだと彼女は述べた。
「準備を整え、関与し、トップから主導権を握ることが重要だと思います」とロバーツ氏は述べた。「攻撃や障害が発生した際に、シナリオを事前に確実に訓練し、全員が自分の責任を認識できるようにする必要があります。誠実でオープンな姿勢で顧客と対話することが重要です。」
