NTTコムがサイバー攻撃の被害公表前にした準備 顧客を傷つけず､社内の混乱を抑えた方策とは

サイバー攻撃の被害公表はレピュテーションリスクもあり消極的な企業が多い。そんな中、NTTコミュニケーションズが積極的に情報開示する理由は何か？（写真：Luce / PIXTA）

サイバー攻撃を受けたら、企業はどうすればいいのか。状況を把握し、被害の最小化を図るだけでなく、「公表」についても方針を決めなくてはならない。そもそも公表するのか、公表するとしたらどこまで開示するのか、そのためにどんな準備をすればいいのか。

意外と定まっていないこれらの方針を決めるうえで参考になるのが、実際に被害を受け公表した事例だ。2020年5月にサイバー攻撃による被害を公表したNTTコミュニケーションズ 情報セキュリティ部部長の小山覚氏に、公表を決めた経緯と準備した内容、一連の被害体験で得た教訓まで詳しく聞いた。

適切な広報のため想定Q&Aを何十問も作成

NTTコミュニケーションズがサイバー攻撃による被害を検知したのは、2020年5月7日。海外拠点のサーバーを通じて日本の社内サーバーに侵入され、一部の情報が流出した可能性があった。アクセス権限を持たない第三者が、サーバや情報システムの内部へ侵入する、いわゆる不正アクセスだ。

サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

当初は、情報流出の可能性がある顧客のみに連絡をすることも検討していたと小山氏は明かす。

「ブランド毀損を懸念する声もあり、リスクマネジメント担当の弁護士に確認をしたところ、適切な対応をすれば広報する必要がないという見解も得ていたからだ。

しかし、同時並行で調査をしたところ、情報流出の可能性があるお客様は621社にのぼることがわかった。それだけの数のお客様に、短期間で適切な対応を行うのは困難と考えた」（小山氏、以下同）