サイバー攻撃被害｢お詫び｣で好感得る企業の特徴 隠すのが主流だが透明性の高い対応が理想的

こうした問題意識から、辻氏はセキュリティ事故発生後に優れた対応を行った組織を表彰する「情報セキュリティ事故対応アワード」を立ち上げている。

その後の対応をきちんと行った企業と、そうでない企業とが同じように非難されるのはよくない。よい対応をした場合はきちんと評価することが必要と考えたからだ。

今年で9回目を迎える「情報セキュリティ事故対応アワード」は、セキュリティ事故の情報を広く公表する組織を増やし、その情報によって世の中全体のセキュリティレベル向上を実現することを目的に開催されている。最大の特徴は、事故発生後の対応についての「よい部分をほめる」ことだけにフォーカスしている点だ。

「セキュリティの専門家は、“厳しいことを言う怖い人”というイメージを持たれがち。そんなセキュリティの専門家が、積極的によい対応を評価してほめることで、意識を変えていこうという意図で実施しています」と辻氏はいう。

審査では、以下の4つの指標を基準に5人の審査員が選考を行い、受賞企業を選定している。

セミナー形式で開催される表彰式では、企業の担当者に事故発生当時のことを話してもらうことで、事故発生後の対応についてリアルな声を世間に届けている。

ノルウェー企業の透明性の高い驚異的な事後対応

では、事故発生後の理想的な対応とは具体的にどのようなものなのだろうか？ 非常に透明性の高い対応をした事例として辻氏が挙げるのが、ソフトウェアなどを提供するノルウェーの企業、ボリュー（Volue）だ。

ボリューでは、サイバー攻撃による異常を認知した同日にランサムウェアに感染していることを公表している。ここでポイントとなるのが、情報発信を自社のSNSアカウントを使って行っている点だ。

すべての顧客や関係者がコーポレートサイトを見るとは限らない。もしDDoS攻撃（複数のコンピューターからウェブサイトやサーバに大量のデータを送付して負荷をかけるサイバー攻撃）の被害にあっていれば、サイト自体のアクセスもできなくなる。そのため、拡散性の高い組織外のチャンネルを使って正しい情報を周知することが重要な意味を持つ。