[CODE BLUE 2019][フューチャー株式会社] 情報漏えい事件の謝罪対応の裏側[レポート] #codeblue_jp

CODE BLUE 2019「[フューチャー株式会社]情報漏えい事件の謝罪対応の裏側」についての参加レポートです。危機管理大切ですね。
2019.10.29

こんにちは、臼田です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2019に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

[フューチャー株式会社] 情報漏えい事件の謝罪対応の裏側  Presented by フューチャーグループ 株式会社ディアイティ セキュリティコンサルティング 本部長 青嶋 信仁

サイバー攻撃による情報漏えい事件発生後に必要となる組織の謝罪対応は、事件全体像がすぐに判明しにくいこともあり、その内容によって組織の信用に大きく影響をしてくる。最近の情報漏えい事件のいくつかの実例から、信用を落とさない対応例や問題点などとともに、Webサイト掲載文や第三者による評価や対外組織などとの連携など公開時におきることなどについて説明する。 ※フューチャーグループの1社がディアイティとなっており、フューチャーの枠での講演となります。

レポート

  • プロフィール
    • 主にインシデントレスポンスに関わる全般の仕事を実施
    • 不正アクセス事件の第三者委員会
    • 最高情報セキュリティアドバイザー
  • 2018年インシデントトップ10
    • いくつか実際に関わっている
    • 情報通信業の件数が多い
    • 2013年以降不正アクセスの件数が多い
  • 不正アクセス事件のイメージ
    • 少し前は情報引き抜きや防御に穴があったりしていた
    • 最近はクレジットカード情報や国家機密が抜かれ、単純な穴ではなく多様な穴が攻撃されている
    • 影響範囲が特定困難になってきている
  • 公開に関わること〜クレジット情報関連〜
    • 公開までにかかる時間
      • 認知から採集調査完了まで平均1.6ヶ月
      • 認知から公開まで平均3.6ヶ月
      • クレジット情報だと公開まではすごい遅い
    • 何故時間がかかるのか
    • 公開するにはクレジット関係会社等と調整する必要があり、流出した会社だけで決めれない
    • フロー
      • クレジット会社からの連絡がほとんど
        • 自分たちで気が付かない
        • この段階でクレジット会社にイニシアティブがある
      • フォレンジックを行う調査会社へ依頼
        • 認定がある会社でないと調査できない
        • その限られた会社が忙しいと時間がかかりやすい
      • 調査会社からの最終報告
        • 解明できないと最大被害を想定
      • 捜査機関や監督機関など第三者への届出
      • 関係各所との公開時期の調整
      • 謝罪方法の設定
      • 謝罪の公開
    • 問い合わせの来る組織はすべて事前準備が必要
      • 被害会社: コールセンター整備、Q&A
      • クレジット会社: コールセンター整備、Q&A、金銭対応、関係機関調整
        • 事件毎にコールセンター整備
      • サイト運営会社: Q&A
      • 関係団体: Q&A
      • お金が関わると悪質なクレーマー対策も必要
      • コールセンターは開設に時間がかかる
    • 公開文書
      • 他事例を研究して真似る
      • メールの通知や文書の郵送がある場合、通知先に届くタイミングでWeb公開
      • 経過説明は何月何日までいれる
      • 捜査機関や関係組織に対して公開文書と日程の調整を取る
    • 謝罪の目的の明確化
      • 誰に対して公開して何を謝罪するのか
        • 顧客?株主?国民?官庁からの命令?
        • 何でも公開するものでもない
        • 対象が限定される場合にはトップページに掲載しないことが増えている
          • IRだけとか
          • 会社概要に専用ページ作るとか
    • 会見まで行う場合
      • 想定されること
        • 危機発生時の初動の整理
        • 被害者への影響と対応
        • 公式見解の作成
        • 謝罪文面と会見の整合
        • 想定Q&Aも想定した会見内容
        • 記者会見通知
        • - 会見実施 -
        • 記者からの電話での事後問い合わせ
        • 明示された問い合わせ先、外の社員などの問い合わせの統制
        • 電話(コールセンター)対応
        • 第三者委員会作成
    • 記者会見は練習が必要
      • 事実と推測の明確(つっこみどころ)
      • 想定Q&Aを複数用意
      • 想定外または回答の影響が多い場合の逃げ手(会見支援者、フダだし)
      • 服装・会見場所(印象)
      • 時間を限定しない(印象)
      • 会見後の質疑応答体制
      • 経験者は必要…
    • ソーシャルリスニング
      • 公開後どのように報道などが出ているか、ネガティブな内容で報道されているか等を調査し、今後の対応方針にリンクさせていく
      • 記者のマーキングも必要
  • 求められるセキュリティ危機管理
    • リスク管理から危機管理(IT-BCP)へ
    • リスクとは
      • 潜在危機
      • 不正や情報漏えい、ハラスメント、法違反など
    • 危機とは
      • リスクが顕在化した状態
    • 危機管理から見えるセキュリティ対策実施が信頼を向上させる

感想

実際の事故のデータをみると大変さがわかりますね。危機管理をしっかりやっていきたい。