コミュニケーションプランの重要性
セキュリティ
本ブログでは、インシデント発生時のコミュニケーションプランの重要性について解説するとともに、具体的なプランの内容を提案いたします。
コミュニケーションプランの重要性
組織にとってセキュリティ対策は喫緊の課題となっていることは言うまでもありません。しかし、どのような対策を施しても、セキュリティインシデントが発生する可能性をゼロにすることは難しいでしょう。セキュリティインシデント発生時に迅速かつ適切な対応を行うためには、事前に周知徹底されたコミュニケーションプランを策定しておくことが重要です。セキュリティインシデントが発生した場合、組織内では情報が錯綜し、不安が広がりやすい状況に陥ります。迅速かつ正確な情報が関係者の間で共有されなければ、適切な対応が取れず影響範囲が拡大し、より深刻な状況へと陥ってしまうかもしれません。
では、具体的にどのようにコミュニケーションプランを策定すれば良いのでしょうか?まだ未策定の組織の方からすれば「誰が取りまとめるの?」と思うかもしれません。組織全体に係る事案ではありますが、一般論としてセキュリティ対策全般を担っている情報システム部門または担当が主体となって調整することが望ましいでしょう。しかし、情報システム部門または担当だけでは組織の合意形成を得ることは難しいため、経営層・対象システムの影響を受ける関係部門・法務・広報・財務・経理など各部門の協力を得る必要があります。
コミュニケーションプランを策定する上で協力を仰ぐべき関係部署の例
次に各対象者とのコミュニケーションに際して共有方法や共有すべき内容を決めます。平時と違いインターネット接続やメールなどのコミュニケーションツールが利用できない状態に陥っている可能性もありますし、発生した時間帯によっては関係者と連絡が取れないといったことも考えられます。コミュニケーションプランは、様々な状況を想定して準備をしておくことが重要です。
コミュニケーションプラン内で最低限検討すべき事項の例
セキュリティインシデントの状況によっては社内のリソースだけでは事足りず、外部ベンダーの協力が必要になる場合があります。しかし、自組織と違い契約上の制限や責任の所在の不明確さによってスムーズに連携できない可能性があります。外部ベンダーに対しては前述のコミュニケーションプランの項目に付記する形で以下の点について整理し、あらかじめ対象となる外部ベンダーと認識合わせをしておくことが推奨されます。
セキュリティインシデント発生を想定して各外部ベンダーに対して確認しておきたい事項
コミュニケーションプランの策定は、「消防訓練」の様なものです。「消防訓練」は火災発生時に慌てないように事前に手順を共有しておくことで、意識や理解を深めると共に迅速かつ効果的な消化活動につなげることができます。セキュリティインシデントが発生した場合も同様に迅速かつ適切な対応が求められますが、準備不足であれば被害が拡大したり、機密情報が漏洩するなどの重大な事態へ進展してしまうリスクがあります。また、自組織での問題がビジネスサプライチェーン上の他組織にも影響を及ぼしてしまう可能性も考慮すると、関係者との密なコミュニケーションが重要であることは言うまでもありません。
コミュニケーションプランを策定することがゴールではなく、定期的に机上訓練を実施することで内容を熟知すると共に有事における対応練度の向上が期待できます。また、コミュニケーションプランの潜在的な問題を浮き彫りにし、さらなる改善を図ることもできます。本コラムで紹介した内容はあくまでコミュニケーションプラン策定における1つの考え方として参考にしていただければ幸いです。
株式会社Blue Planet-works|セキュリティアドバイザー 鴫原祐輔
