サイバー攻撃発生、そのとき経営陣は何をすべきか？　【続編】～本格化する顧客対応とメディア対応とは～

2025-09-30 06:00執行役員CTO 青嶋信仁

1．はじめに
 2．情報統制と情報選定
 3．対顧客コミュニケーション戦略
 4．Webサイトでの情報公開と組織対応
 5．メディアへの誠実な対応とは
 6．信頼を勝ち得る真因と恒久対策提示方法
 7．あとがき

１．はじめに

前編『サイバー攻撃発生、そのとき経営陣は何をすべきか？～初動対応と顧客対応が信頼回復を左右する～』では、インシデント発生直後の初動対応において、経営陣がどのように行動すべきかを実例を交えて解説しました。

本編では、初動対応の後に訪れる、顧客やメディアといった事業に大きな影響を与えるステークホルダーとの関係に焦点を当てます。これらのステークホルダーがどのような反応や行動を取る可能性があるのか、そしてそれに対して経営陣はどのように対応すべきかを具体的に説明していきます。

なお、前編で紹介したような「理想的な顧客対応」が実現できていれば、本編の内容はあまり必要ないかもしれません。しかし、現実にはそのような理想的対応ができるケースは稀であることも前編で述べた通りです。

本資料の前提は、以下のように前編と同様になりますので、言葉の定義含めて、必要ならば前編を参照していただければと思います。

【対象者】

本資料は、経営者に直接届かないケースを想定し、経営陣や情報システム担当など、インシデント対応の判断や経営者への助言を行う方々に向けて作成しています。

２．情報統制と情報選定

２．１　原則：初動の肝は「情報統制」

インシデント発生後、経営者が最初に行うべきは「情報統制」です。誰に、何を、どこまで伝えるか。この初期設計が、その後の対応すべてを左右します。

最も重要な原則は、事実と推測を完全に分離し、確定した事実のみを伝える「情報選定」です。なぜなら、不確かな推測を発信し、後から訂正する事態は「管理能力の欠如」と見なされ、致命的な信用失墜につながるからです。

それぞれのステークホルダーは、自組織への影響を最小限にするため、提供された情報を基にリスク対策を講じます。その判断の前提を覆してしまうと、混乱を招くだけでなく損害賠償に発展する可能性すらあります。

また、情報発信は必ずしもWebを使用した一斉公開が正解とは限りません。影響が特定の取引先に限定されるならその担当者のみに、個別対応ができないほど多数に及ぶならWebで、というように影響範囲に応じたチャネル選定が求められます。

これは契約で通知方法が定められている場合もあり、平時からの情報管理と整理がいかに重要かを示す一例です。

２．２　実践：「事実がない」中で、いかに信頼を繋ぐか

原則は分かっていても、インシデント直後は確定した「事実」がほとんどありません。攻撃者によってログを消去されるケースは昔からありますし、特に近年の高度な攻撃では、痕跡の残らない攻撃手法が使われる場合も多いです。原因や被害範囲の特定に必要なログが不足していると、自組織だけでの技術的な解析は極めて困難です。外部専門家による調査にも時間がかかります。

この「事実がない」中で、どうステークホルダーと向き合うか。ここが経営者の腕の見せ所です。

まず、状況を段階的に、ありのままに公表します。当初、顧客や取引先から見てシステムが利用できない状況であれば、「システム障害が発生」と事実を簡潔に伝える第一報が重要です。利用できない原因が自社にあることを明示しておくことで、顧客側に無用な確認や問い合わせをさせずに済み、時間の浪費を防ぐことができます。不正アクセスが判明した時点で「不正アクセスによるシステム障害が発生。情報漏洩の可能性については現在調査中」と更新します。

そして、情報漏洩の可能性に言及する際には、信頼を補強する「切り札」を使います

それは、「現在、捜査機関および外部専門家と連携して原因を調査しております」という一文です。この一文が加わるだけで、ステークホルダーの受け取り方は大きく変わります。

捜査機関との連携は、「会社として隠蔽せず、公明正大に対応する」という姿勢の証明になります。ただし、これは「事実」が存在しない期間を乗り切る、時間を稼ぐための信頼維持の戦術ですので、長期には活用できません。
外部専門家の関与は、「専門的な知見に基づき、客観的で徹底した調査が行われる」という安心感につながります。

このように、第三者機関の関与を明示することで、情報が限られていても対応の透明性と専門性を示し、ステークホルダーの不安を軽減できます。

２．３　応用：問い合わせ対応と内部統制

情報漏洩の可能性まで踏み込んだ場合は、不安を抱いたステークホルダーから質問が飛んできます。

これについては事前にQ&Aの策定が必要ですが、ここでも外部専門家を入れる方が確実です。

■ 問い合わせ対応の基本原則

原則：公表内容の範囲を超える情報（公表していない情報）は提供しない
理由：•追加の情報提供は、さらなる要求や混乱を生む恐れがある

■ 社内対応の指示例

「公表資料に記載されていること以外は話さない」
それ以上求められた場合は：「専用窓口へご連絡ください。折り返します」と案内する

■ 特別対応の注意点

一部顧客に対しては、他顧客と異なる体制でフォローアップを行うことは可
○ただし、未公表の事実を話すことはNG
SNS等で情報が漏れるリスクも考慮が必要

※このような統制された対応は一見「冷たく」見えますが、組織として一貫性を保つ「危機管理能力の証」となります。

３．対顧客コミュニケーション戦略

３．１　顧客の組織内で起きていることを知る

情報漏洩またはその可能性の対象の顧客は、どのような対応をするのかを考えてみます。

連絡を受けた担当者は、自分だけで対応を済ませることはなく、組織内でエスカレーションします。つまり、担当者から対応判断が離れていくのです。

失敗した実例を紹介します。

３．２　失敗事例：善意が生んだ最悪の結果

不正アクセスを受けたA社は、当該事案に関する顧客対応は特定の社員が行うという方針にしていました。

しかしある営業担当者が、自身が長年懇意にしている顧客B社の対応を任せてほしいと上申しました。経営陣がこれを認めてしまったところ、その営業担当者は、B社を安心させたいという考えから、A社が公表していないことまで話してしまいました。

これが裏目に出て、その情報がB社の上司・法務や監査会社まで上がった際に、「情報を隠ぺいしている」「復旧の目途が立つ状況ではない」と判断されてしまいました。結果的に、B社から複数の質問と要求が寄せられただけでなく、契約解除も視野に入れるという厳しい判断が下されました。

このような事態を招かないためにも、担当者個人の善意による安易な情報提供がいかに危険であるかを、経営者は肝に銘じるべきです。必ず、どこにどんな情報を提供したかの管理が必要です。

３．３　信頼回復へのロードマップ

前編でもありましたが、「インシデントが発生し、被害に遭ったシステムを復旧予定」という連絡だけを受けた場合、原因や対策が示されていない中で安心してそのシステムを使えるのかなど、顧客の不信感は増すばかりです。

顧客からの信頼を取り戻すためには、以下の3段階を意識して情報を提供することが有効です

■ ステップ1：現在の状況報告（初期段階）

インシデントの原因と被害範囲を共有

例：「外部からの不正アクセスにより、XXシステムに影響が確認されました」
外部ステークホルダーに影響がある範囲に限定して情報を共有し、それ以外の内部的な技術詳細は原則として開示対象外とする
全容が解明されていなくても、初期段階で判明していることを速やかに共有

■ ステップ2：再発防止策の提示（中期）

再発を防ぐために講じた策を簡潔に伝える

例：「アクセスログ監視体制を強化し、侵入経路の遮断を実施」
再発防止策は、技術的対策だけでなく運用面の強化も含めて簡潔に提示する

■ ステップ3：強化策・将来対応の表明（終盤）

安心材料として、継続的なセキュリティ強化への投資・仕組みを説明

例：「常時監視体制の導入」「半年ごとの外部診断の実施」
将来的な対応方針の提示は継続的な改善の姿勢を示すことができ、顧客の安心感を醸成する

顧客が求めるのは“復旧”ではなく“再発しないという確信”です。それが安心です。

３．４　要求レベルに応じた対応

発信した情報が顧客の納得できない内容であった場合や、担当者が独自の考えで情報提供してしまった場合など、思い通りに進められないケースは多々あります。その場合、顧客からどのような要求が発生するのか、私の経験から記載していきます。

★知りたいのは事実と経営者の姿勢です★

事実確認を目的とした要求の場合は、現在公表している内容を再度伝えるとともに、「第三者機関（捜査機関や外部専門家）と協力しながら調査を行っています。状況が変化した場合は、統一の窓口から速やかにご連絡します」と回答します。

「統一の窓口から」というのも意味があります。個別対応をすると公平性を欠く印象を与え、かえって信頼を損なうリスクがあるためです。

企業としては常に公明正大な対応を心がけ、顧客には「精査された安心できる情報が提供されている」という印象を与える必要があります。

第三者機関の名前を出すことは、自組織のみの調査ではなく相応の時間が必要である、という印象を与える効果もあります。

■ 顧客要求が高度化するケースとその対応

顧客は、以下のような場合に強い不信感を抱きます

提供された情報が不十分と感じた場合
担当者の発言と公式発表に齟齬が生じた場合
経営者の姿勢（主体性・当事者意識など）が誠実でないと受け取られた場合
このような場合、単なる情報提供では不十分です。

このような場合、単なる情報提供では不十分です。

■ 対応のポイント

「事実」と「姿勢」の両面を丁寧に伝える
○現状の説明（再掲）に加え、「調査は第三者と実施」「経営陣も真摯に受け止めている」旨を強調
経営陣の関与が不可欠
○ 特別対応が必要な顧客に対しては、現場責任者＋経営陣の関与が必要
○ オンラインやメールではなく、可能であれば対面での説明が望ましい
インシデントを「会社間の問題」として扱う
○ 通常のカスタマーサポートではなく、企業間の信頼再構築として捉える

３．５　顧客から「直接調査させてほしい」と要求されたら

インシデント対応において、顧客の信頼を大きく損なった場合、「原因究明のために、通信ログなどの生データを提供してほしい」という、極めて対応が難しい要求を受けることがあります。

① なぜこの要求が来るのか？（顧客側の背景）
こういった要求の裏には、主に以下の背景があります。

顧客側の経験値: 顧客自身が過去に同様の事案を経験しており、インシデント対応に詳しい。
外部からの圧力: 顧客が、自社の取引先や監査法人といった、「強い」ステークホルダーから説明責任を追及されている。
自社の損害を最小化したい: 「こちらでも調査すれば、より早く解決できるはずだ」という善意や、「自社への影響を自ら把握したい」というリスク管理の視点が働いている。

② どう対応すべきか？（推奨される対応ステップ）
こういった要求に対しては、以下の2段階で、毅然かつ丁寧に対応することが基本です。

ステップ１：第三者の権威を盾に、時間的猶予を確保する
まずは、調査の主導権が自社と信頼できる第三者にあることを伝え、理解を求めます。

＜会話例＞
「現在、警察および外部の専門調査機関と連携して全容解明に努めております。私どもも両機関を全面的に信頼しておりますので、恐れ入りますが、調査の進展を今しばらくお待ちいただけますでしょうか。」

ステップ２：機密保持を理由に、情報提供ができないことを伝える
それでも顧客が引き下がらない場合は、情報提供が契約上・法務上の義務に違反する可能性を伝え、丁重にお断りします。

＜会話例＞
「ご提供を求められているログ情報には、他のお客様の情報や弊社の営業秘密など、機密情報が多数含まれております。誠に申し訳ございませんが、機密保持の観点から、これらの情報を開示することはできません。」

４．Webサイトでの情報公開と組織対応

４．１　Webサイトでの事件公開に関する3つの原則

インシデントに関する情報をWebサイト（SNS含む）で公開する際には、いくつかの重要な原則があります。これらを理解することが、適切な対応の第一歩です。

【原則１】公表文は、類似の事案で使われた「定型フォーマット」に倣うこと

インシデントに関する公表において、独自性を出すことは避けるべきです。下手に多くの情報を提供したり、他社と違う表現を使ったりすると、思わぬ批判を招き「炎上」するリスクを高めます。重要なのは、過去の類似事案で企業が実際に使用し、社会的に受け入れられてきた「定型フォーマット」を参考にすることです。これにより、対応の標準性を担保し、余計な憶測を呼ばずに済みます。

【原則２】目的は「影響を受けた方へのお知らせ」であること

情報公開の目的は、あくまで影響を受けた方々に事実を伝えることです。したがって、彼らに情報が届けばよく、必ずしもトップページに掲載する必要はありません。

【原則３】Webサイト情報の「更新と終結」の現実を知ること

一度公開したインシデント情報を、常に最新の状態に更新し続ける必要はありません。

多くのステークホルダーが知りたいのは「システムが安心して使えるか」や「情報漏洩の状況」といった結論です。よって、システムの再開など、伝えるべき明確な進展があった場合にその点だけ更新するのが基本です。（※再開状況などは、インシデント報告とは別のページで更新する運用も有効です）

そして押さえるべき点として、情報漏洩の可能性があるインシデントでは、安易に「終了宣言」を出すべきではありません。

なぜなら、一度漏洩した情報は自社の管理下から離れてしまい、その影響が完全に消失することはないからです。過去の多くの事案でも、最初の公表から一度の途中報告があった後、そのまま更新が止まっているケースがほとんどです。（※公にしないだけで、関係会社間では契約に基づき個別に終結を通知することはあります）

４．２　BtoBビジネスとBtoCビジネスにおける対応の違い

公開する内容や対応が、BtoBとBtoCで対応が大きく異なるということを押さえてください。

項目	■ BtoBビジネス	■ BtoCビジネス
コミュニケーション	・対象者が特定でき、連絡が容易・メール等での迅速・的確な情報提供が重要	・対象者が不特定多数で、連絡が困難・Webサイトやメディアでの周知が有効
問題の性質	・事業継続に関わる「会社対会社」の問題	・「金銭的補償」を求められる可能性があること・コールセンターでは感情的な問合せへの対応が必要
主なリスク	・経営責任への波及	・風評被害（炎上）・想定外の補償コストの発生

■BtoBにおける対応

BtoBビジネスの場合、対象者とその連絡先が特定されていることから、コミュニケーションは比較的コントロールしやすいです。ただし、BtoCよりも問題が深刻化する傾向があります。

コミュニケーション:
○ 第一報は営業担当者が行い、その後のやり取りは統一窓口に集約するのが基本です。
　・第一報の内容も全社で統一する必要があります。
○顧客が本当に求めているのは、掲載場所よりも「メール等で的確な情報が迅速に得られるか」です。
問題の性質:
○インシデントは単なる事故ではなく、お互いの事業継続に関わる「会社対会社」の問題として扱われます。
発展リスク:
○被害の程度によっては、顧客のさらに先のステークホルダー（株主や取引先）から、「なぜその会社を使っていたのか」という顧客の経営責任にも関わる問題に発展する可能性があります。

■BtoCにおける情報公開と顧客対応の現実

BtoCビジネスでは、不特定多数への対応が必要となるため、全く異なる課題に直面します。

情報伝達の難しさ:
○対象者が非常に多いことに加え、登録されている連絡先が正しくないケース（偽名・転居前の住所・既に使用していないメールアドレスなど）もあり、一人ひとりに連絡することは困難です。
○そのため、Webサイトでの告知や、場合によってはマスメディアを通じて情報を周知させるアプローチが有効となります。
金銭的補償への備え:
○事実関係の調査・解析が完了し、被害範囲や責任の所在がある程度明確になった時点で回答を行います。
○情報漏洩事案の場合、顧客からは早々に補償を求められることが多いのですが、検討は明確になってからでよいです。
　・参考までに、過去の事例では一人あたり数千円分の商品券を送付するなどの
　対応が発生しています。
　・「企業の対応に不備」があったと見なされた場合には、補償額が１万円以上の
　ケースも複数あります。
　・よって、経営者の判断が賠償費用を左右するともいえます。このようにBtoBとは
　異なるコスト感の覚悟が必要です。　　
コールセンター対応の現実と戦術:
インシデント対応の成否は、顧客からの問い合わせを集約するコールセンターの運営にかかっていますが、ここには数多くの課題があります。
○設立の困難さ:
　　・通常のコールセンターよりもデリケートな問題を扱うため、外部委託で即座に
　　立ち上げることはほぼ不可能です。
　　・現実的な着地点として、時間調整が可能な要員を社内から広く募り、可能な
　　範囲で自社運営します。理想的な24時間対応は難しく、「電話は就業時間内、
　　メールは24時間受付」で凌ぐのが一般的です。
○運営の要となる「Q&A」:
　　・対応品質を左右するQ&Aの作成が最重要です。これは組織文化や背景を
　　　理解する必要があるため、作成は自社で行うしかありません。外部専門家は、
　　　完成したもののチェックや追加提案に留まります。
　　・回答は凝りすぎず、確定した事実のみを簡潔に記載するのが鉄則です。
　　・ここでも「捜査機関と連携している」という事実は、顧客の安心感を醸成する
　　　上で特に有効です。
○特殊な問い合わせへの備え:
　　・残念ながら、納得していただけない顧客や、顧客ではない人からのクレームは必ず発生します。
　　・「責任者を出せ」という要求も頻発します。事前にクレーム対応の責任者を設定しておき、
　　　その方が同じ内容を繰り返すだけでも、相手を落ち着かせて納得へと導けるケースがあります。

４．３　社員対応

社員もステークホルダーであることを忘れてはいけません。

■ 目的

社員の不安を取り除く
非公式な情報拡散を防ぐ
顧客・メディアへの統一対応を実現する

■ 実施すべきこと

事前に「何をどのように公表するか」を周知
社内イントラやメールで「公表内容＋応答方針」を共有
社員に対して以下を徹底：
○「未確認のことは答えない」
○「メディアや顧客からの問い合わせは専門窓口に回す」

社員一人ひとりが“組織の顔”であるため、統一対応の教育は重要です。
これらを乗り切った企業は、むしろ信頼を高めることができます。

５．メディアへの誠実な対応とは

インシデントの発生がWebサイトで公表されると、多くの場合、メディアからの問い合わせがあります。彼らが求めるのは「公表された以上の新しい情報（スクープ）」です。

このプレッシャーの中で、いかにして不用意な発言を防ぎ、逆に「誠実に対応している」という好印象を与えるか。そのためには、以下の三つの原則を徹底することが不可欠です。

【原則１】窓口を完全に一本化し、全社員に徹底させる

メディアからの連絡は、代表電話や知人の社員など、あらゆるルートから入ってきます。個々の社員が対応してしまうと、情報の混乱や意図しない情報漏洩を招きかねません。

対策:
○ メディア対応は「広報部など」に限定し、それ以外の経路は遮断する
○ 全社員に「直接対応しない」「正式な窓口を案内する」ことを周知徹底

【原則２】回答は「公表済み情報」に限定する

記者は様々な角度から質問を投げかけ、新しい情報を引き出そうとします。しかし、ここで求められるのは、毅然として確定された事実以外「話さない」勇気です。

フレーズ例:
○「確定している内容はWebサイトに掲載しております」
○「現在は、捜査機関および外部専門家と調査中です」

憶測や予測は一切口にしないことも重要です。

【原則３】「協力姿勢」を戦略的にアピールする

ただ「話せない」と繰り返すだけでは、不誠実な印象を与えかねません。そこで、自社の信頼性を補強する「ポジティブな事実」を戦略的に伝えます。

フレーズ例:
○「法令および社内規程に基づき、警察や外部機関に即座に報告・協力しております」
○「関係するシステムを隔離し、被害拡大の防止に努めております」

記者は、得られた情報の中で記事を構成します。新しい事実が得られない場合、この「迅速かつ誠実な協力姿勢」が、記事の論調を左右する重要な要素となり得るのです。

６．信頼を勝ち得る真因と恒久対策提示方法

ここまでの対応を乗り切ったあと、インシデント対応は新たなフェーズへと移行します。

これまでの対応が「迅速な鎮火」だとすれば、ここからは「徹底的な分析」「未来に向けた再建」のステージです。場当たり的なベストエフォートは終わり、ステークホルダーからの将来にわたる「安心」を勝ち取るための、時間と覚悟を伴う戦略的投資が求められます。

意外に思われるかもしれませんが、実はどのようなインシデントであっても、ステークホルダーの信頼を得られる恒久対策、つまりゴールは驚くほど似通っています。なぜなら、ステークホルダーが最終的に求める「安心」の本質は、そう大きくは変わらないからです。

前編で述べた「真因」にどこまで深く向き合えるか。これが単なる復旧で終わるか、以前にも増して強固な信頼を再構築できるかの分水嶺となります。なお、「真因」とは時間をかけた徹底的な調査の末に導き出される結論ですので、必要な調査が行える状況を初期対応の段階で整えておくことが重要です。

そして、導き出された「真因」に対応した対策が恒久対策となります。

真因は以下の３つの観点で整理します。

要因	定義	補足
技術的要因	システム、ネットワークやツールの問題	例：脆弱性、設定ミス、監視不足など
人的要因	人の知識、意識や行動の問題	例：操作ミス、教育不足、対応遅延など
組織的要因	体制、文化、経営姿勢やルールの問題	例：責任者不在、ポリシー・ルール未整備、セキュリティ軽視など

これらは独立したものではなく相互に影響しあっています。

一例として、人的な管理不備や意識の欠如は、多くの場合、セキュリティを軽視する組織的な文化・ルール（ポリシー）の不在という土壌から生まれることがあります。

以下に、情報漏洩事案という想定で、真因とその対策例がどのようになるのか、例を示します。

【インシデント内容】

公開サーバがソフトウェアの脆弱性を攻撃されたことで侵害され、サーバ内の顧客情報が漏洩した。

これを３つの要因で分析して、恒久対策へ反映していきます。

「⇒」が対策例ですが、ステークホルダーへの伝達・表現方法は状況によって異なります。

　　①技術的要因
　　　・「脆弱性を攻撃されただけで侵害された」という点から、一点突破を許した防御設計
　　　　⇒　対策：多層防御　一点を破られても簡単に侵入できない

　　　・公開サーバに顧客情報を保存していたことと、アクセス管理の不備
　　　　⇒　対策：顧客情報という機微な情報を保存しないシステムを採用

　　　・侵入および情報漏洩検知の不備
　　　　⇒　対策：WAFやDLP等やログの監視

② 人的要因

　　　・顧客情報の漏洩リスクへの認識不足
　　　　⇒　対策：顧客情報取り扱いや個人情報保護法などの法律知識の教育

　　　・インシデントの発生を想定した準備の不足
　　　　⇒　対策：机上訓練の実施

③ 組織的要因

　　　・ソフトウェアのバージョンアップ管理の未実施
　　　　⇒　対策：「脆弱性管理規程」を策定・見直し、担当部署と責任者を明確にする。
　　　　　　　　規程に沿った定期的な確認と対応の徹底

　　　・データガバナンスの欠如とポリシーの不備
　　　　⇒　対策：現場ではなく、CISO等責任者のもとでルールの明確化

　　　・セキュリティを軽視した設計プロセス
　　　　⇒　対策：セキュリティバイデザインや開発/構築工程へのSSDLC導入等

　　　・情報漏洩が「経営リスク」であるという意識の欠如
　　　　⇒　対策：経営会議でのセキュリティリスクの定期的報告義務

ステークホルダーへの説明でも、原因（真因）をこれら３要因に分けて整理し、それぞれに該当する対策を示すとわかりやすくなります。

また、半年や1年単位で進捗状況を公表することは、安心感の醸成につながります。

なお、その場しのぎで実現不可能な対策を約束するべきではありません。すべてを実施するのに数年がかりになるとしても、実現可能な計画を記載することが重要です。そしてその説明内容は、ステークホルダーからすると経営者の素顔と認識されることを意識してもらえればと思います。

「どのようなインシデントであっても、ステークホルダーの信頼を得られる恒久対策、つまりゴールは驚くほど似通っている」のです。これは、経営者が複雑な技術論に惑わされず、常に「ステークホルダーの『安心』とは何か？」という普遍的な問いに立ち返ることの重要性を示唆しています。

参考：【多層防御】

技術対策において、システムへの侵入を許した場合には必ず登場する重要な対策と考えておいてください。これを否定するようなことはない鉄板の対策といえます。

そして、ベンダから提示された高額な費用をみて経営者は悩むかと思います。

そのような場合、まず推奨されるのが、現状の設備の設定変更だけで済むアクセス制御です。

内部セグメントは全ての端末が自由かつ相互に通信可能としている組織がまだまだ多いのですが、ルータやスイッチの設定で、各サーバやセグメント間の通信を制御することです。これによって、サイバー攻撃者がどれか一台に侵入できたとしても、周囲にどんな機器が存在するのか見つけるのが難しくなります。

侵入は避けられない前提でこういった対策を行うのも多層防御の１つですし、社内で対応可能なレベルでもあり、新規導入製品と異なり即座に効果を発揮します。

こういった対策をまず提示しておき、製品導入などは自組織の予算や環境、レベルにあわせて吟味を行うことです。

あとがき

サイバー攻撃への対応とは、単なる技術論や法的対応ではありません。

事業継続を揺るがす危機に直面したとき、企業としていかに信頼を守り抜くかという、経営の本質が問われる瞬間です。

経営者・経営陣に求められるのは平時からの備えと、有事における冷静な判断力、説明責任、そして将来に向けた信頼の再構築、この3つの視点を持ち組織を導く覚悟です。

本資料では、初動対応に続く第二フェーズとして、顧客やメディアとどう向き合うべきかを実務ベースで整理しました。単なる理想論ではなく、現場で実際に起きうる誤解、圧力、混乱にどう対処するかを重視しています。

今後、AIや新しい攻撃手法が登場しても「人と人の信頼をどう守るか」という原則は変わりません。本資料が、貴社・貴組織におけるインシデント対応の“軸”となり、将来の備えと実践に役立つことを願っています。

サイバーセキュリティとは、経営の“最後の防衛線”であり、インシデント対応とは、組織の「覚悟」が最も試される瞬間であることを、忘れないでください。

また、インシデント対応の全体図ですが、ランサムウェアや不正アクセスなど、脅威別に整理を進めていますので、また別の機会にご紹介します。

執行役員CTO 青嶋信仁

長年コンピューターフォレンジックの第一人者としてインシデントレスポンスに関わる全般の業務に従事。国内最大級の情報流出事故といわれる日本年金機構への不正アクセス事件では、政府からの直接指名を受けて第三者委員として対応。その他、複数の国家レベル事案対応や、数千人規模の企業の最高情報セキュリティアドバイザーなどを歴任。

サイバー攻撃発生、そのとき経営陣は何をすべきか？　【続編】～本格化する顧客対応とメディア対応とは～

１．はじめに