{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
近年、国際情勢の不安定化やテクノロジーの急速な進歩により、サイバー攻撃の手法は日々複雑化・高度化しています。企業のサイバーセキュリティ担当者は、従来の対策に加えて、事業継続性の確保やブランドイメージの保護、さらに顧客情報の管理といった観点から、包括的な対応策を講じなければなりません。本セッションでは、サイバーセキュリティ分野に精通する3名の記者が、日本企業のサイバーセキュリティの現状や課題をメディアの立場から捉え、あるべき対応の未来像について語り合いました。(本文敬称略)
登壇者
株式会社日本経済新聞社
記者
寺岡 篤志氏
株式会社朝日新聞社
編集委員
須藤 龍也氏
一般社団法人共同通信社
ニュースセンター 副センター長
下山 純氏
モデレーター
PwCコンサルティング合同会社
ディレクター
上杉 謙二
※法人名、役職、インタビューの内容などは掲載当時のものです。
左から上杉 謙二、寺岡 篤志氏、須藤 龍也氏、下山 純氏
上杉:
最初にみなさんの担当領域を教えてください。
寺岡:
日本経済新聞社の寺岡です。ビジネス報道ユニットでコーポレートのセキュリティをはじめ、安全保障、犯罪、リスク管理、サイバー攻撃など、セキュリティ関連のテーマを幅広く担当しています。
須藤:
朝日新聞社編集委員の須藤です。直近10年はサイバーセキュリティを担当しています。
下山:
共同通信社の下山です。現在はニュースセンターに所属していますが、以前は編集委員としてサイバーセキュリティを専門に取材していました。
上杉:
最初にお伺いしたいテーマは「サイバーセキュリティ報道のスタンス」です。一般の方に馴染みがないサイバーセキュリティ用語をわかりやすく伝えていくために、どのような工夫をしていますか。
須藤:
サイバーセキュリティ用語は横文字が多く、「何を言っているのかわからない」と感じられることが多いです。「ランサムウェア」という言葉が登場した2016年頃は、一般の読者にはまったく通じませんでした。
一般紙の記者として大切にしているのは、世の中の事象や出来事に紐づけて報道していく姿勢です。例えば「ランサムウェア」について報じる場合、「身代金ウイルス」という言葉にすると、「どのような攻撃をするウイルスか」がイメージできますよね。そのうえで、「どの組織が被害にあったのか」「どのように攻撃されたのか」「なぜ標的になったのか」をきちんと書くこと。それでなければ情報発信する意味がないと考えています。
寺岡:
日経は経済専門紙のため、私は「セキュリティチームとCEOをつなぐ」というイメージを持って記事を書いています。私の目標は「1本の記事で1つの用語の意味を理解してもらうこと」です。解説が必要な用語を記事に盛り込み、その用語について深く解説するようにしています。
もう1つ、この1年間で注力しているのが、ユーザー企業側の話を書くことです。セキュリティベンダーの話よりも、ユーザー企業のインシデントや新たな脅威への対応に関する話のほうが読者には“刺さる”と思っています。とはいえ、取材に応じてくれるユーザー企業は少ないため、日本のセキュリティ向上のためにお話しいただくよう頑張って説得しています。
下山:
セキュリティ用語をどのように伝えるかは、毎回悩みながら原稿を書いています。例えば、「インシデント」という言葉はセキュリティ業界では当たり前に使われますが、一般の読者にはほとんど理解されません。特に共同通信が記事を配信している地方新聞の読者は高齢者や中高年の方が多いので、「インシデント」をどう説明するかは非常に難しい課題です。
左から上杉 謙二、寺岡 篤志氏
左から寺岡 篤志氏、須藤 龍也氏
上杉:
次にメディアの視点から見た「インシデント対応のグッドプラクティス」について伺います。これまで取材した中で印象深かったケースを教えてください。
下山:
数年前、ある欧州企業がランサムウェア被害を受けた時の対応です。その企業は欧州各地でビジネスを展開しているのですが、被害が判明したその日のうちにランサムウェア被害の特設ページを開設し、多い時は1日に2~3回更新しました。さらに同ウェブページにはCEOやCFOの写真と電話番号、そしてメールアドレスも掲載し、「情報が欲しい場合は連絡してください」としたのです。ここまですると取材する側にも「経営陣がインシデント対応を主導し、きちんと情報発信をしているな」という熱意が伝わります。
寺岡:
国内の高級ホテルの対応が印象深かったです。直接のサイバー攻撃を受けたのは同ホテルが契約している予約仲介サイトだったのですが、ホテル側が仲介サイトよりも早く会見し、顧客情報の流出を発表しました。
いち早く会見をした理由は、「誰を守るか」という目的が明確だったからだといいます。ホテル側は「守るべきは私たちのお客様であり、そのお客様に対して『情報が流出したので気をつけてください』と速やかに伝える必要があった」という判断で対応していました。こうした姿勢は、消費者にも響くものがあると思います。
上杉:
逆に改善したほうがよい情報発信の方法やインシデントの情報開示はどのようなものでしょうか。
寺岡:
過去に政府機関がインシデント情報を開示しなかったことがあります。その理由を取材したところ、「通信が暗号化されているので問題ないから」という、あまりにも稚拙な回答でした。
もう1つ、ある省庁がインシデントを通知してきたのですが、その内容がバラバラだったという事例もありました。同じインシデントの通知にもかかわらず、私が受け取ったメールと同僚が受け取ったメールの内容が微妙に異なっていたのです。つまり、情報の統制がしっかりとれていない状況でした。これは情報開示の方法として問題があると感じました。
実直なコミュニケーションをするには訓練が必要ですね。いきなり緊急の場面に立たされたら自分の身を守りたくなるのは人の常なので、マインドセットを変えるだけでは難しいと思います。
上杉:
次にインシデントを公表するタイミングとその情報量についてお伺いします。PwCでは企業が公開しているインシデント報告書を分析しました。その結果、上場企業の場合、情報発信のタイミングの中央値は5.5日で、非上場企業は14.5日であることが判明しました。須藤さんにお伺いしたいのですが、情報開示が遅れたり、情報量が少なかったりする場合、企業に対するメディアの印象は変わりますか。
須藤:
タイミングや情報量で印象は変わりません。それよりも「誰に対してその情報を発信したいのか」を明確にすることが重要だと考えます。つまり、メディアに対して説明しなければならないという視点を持つことと、最終的にその情報が届くべき人たちに対して迅速に届けられるかを考えることが大切だと思います。
残念ながらこの視点がすっぽり抜けてしまう組織は非常に多いです。そうした組織が真っ先に考えるのは「どうやって自分たちの被害を過小評価してもらうか」です。その場合、「インシデントを発表しない」というスタンスでスタートするので、何かにつけて隠そうとします。
メディアは「後手後手」という言葉をよく使いますよね。これは突っ込まれてから言わなければならないことを小出しにしていく受け身の姿勢を指しています。初動のスタンスが「発表しない」だと、最後まで受け身の状態が続くのです。
一方、「情報発信をする」というスタンスの場合、その主体は組織です。そして最初の一歩で主導権を握れるかどうかは非常に重要です。大規模なインシデントになればなるほど複雑怪奇ですし、1日や2日で実態の解明が完了するとはメディアも思っていません。ですから、まずはわかる範囲で情報を開示することが大切です。
その際には「何のために開示するのか」「誰に伝えたいのか」を明確にすること。伝えなければならない人たちの顔を思い浮かべ、「この人たちに納得してもらおう」という視点で情報を開示すれば、「この組織は真摯に対応しているな」と伝わるのです。こちらが知りたい部分で「わからない」と書いてあっても、メディアとの信頼関係があれば、「わかったことから開示していくんだな」と冷静に受け止められます。
上杉:
プレスリリースを読んだとき、そういうスタンスで臨んでいる企業の姿勢は伝わってきますよね。
須藤:
メディアはエンドユーザーや消費者に情報を伝える役割を果たしているので、「誰に伝えるか」を意識してメディアに情報を提供することが大切だと思います。組織は情報開示の手段としてメディアを利用すればよいのです。
下山:
メディアはその時点でわかっている情報を知りたがっています。情報がないときは「今はここまでしか情報がありません」ということが伝われば、メディアはそれ以上の無駄な追及はしません。それよりも記者会見の途中で打ち切られると、フラストレーションがたまります。「次の予定がありますから……」と言われると、「何か隠しているのではないか」と不信感を抱きます。企業の担当者には「記者にとことん説明する」というスタンスで臨んでいただきたいです。
寺岡:
須藤さんが言われた「メディアを活用すればよい」は非常に重要です。メディアは敵ではありません。インシデントに限って言えば、発表をする企業側も被害者の場合が多いので、メディアを味方につけるべきだと思います。一方でメディアは誰に責任があるのかを知りたがります。「誰の責任なのですか」と追及されると、メディアが敵に見えてしまうのでしょう。
ただし、当然すべきことをせずに対策に不備があって被害にあった場合、下手な言い回しをすればメディアが敵に回る瞬間はあると思います。それは往々にして自分たちの組織や社長を守るためにやってしまうのですね。そうした意図は透けて見えますし、すぐにばれてしまいます。
左から寺岡 篤志氏、須藤 龍也氏、下山 純氏
左から上杉 謙二、寺岡 篤志氏、須藤 龍也氏、下山 純氏
上杉:
最後に、企業のサイバーセキュリティ担当者や広報担当者へのアドバイスをお願いします。
寺岡:
CEOはもっと広報を重視していただきたいですね。危機管理はCEOの仕事であり、インシデントが発生した場面で情報を発信する広報は重要な役割を担います。ですから危機管理の場面において広報はCEOとすぐに話ができる状態にし、状況に応じて「どこまで情報を出すか」を判断しなければなりません。そのためには現場に対してある程度の権限を与えることが必要です。そうでなければ即応できる体制にならず、行き違いが多くなってしまいます。
須藤:
私が常に感じているのは、サイバー空間で発生しているセキュリティ上の脅威と、世の中が認識している情報の非対称性があまりにも大きいことです。
例えば「銀行強盗があって3億円が盗まれました」との報道があった場合、人々は「3億円を盗む悪い犯人がいて、3億円が盗まれた銀行は被害者だ」という認識を持ちます。なぜなら、これまで同じような強盗事件が発生し、社会の認識とその事件が一致しているからです。
一方、サイバー脅威は、攻撃者が見えない世界で、攻撃を受けた被害組織だけがクローズアップされます。そしてインシデントの内容が個人情報の流出だった場合、メディアは「個人情報の流出」という言葉に飛びつき、被害組織から情報を得ようとします。
被害組織は情報公開の仕方によっては社会的制裁を受ける恐れがあるため、顧問弁護士に指示を仰ぎます。弁護士はリスク回避を重視しますから、情報を出さないようにします。これではサイバー空間で何が起きているのかを正しく伝えることはできません。
情報流出は攻撃者という"悪い奴"が組織を攻撃したから起こったことです。情報を流出させてしまった組織はある意味加害性を持っていますが、被害者でもあるのです。この社会的構造をメディアが描き、「悪いのは攻撃者だ」と社会が認識できるようにする必要があると考えます。そのうえで「組織は攻撃に備えて対策を講じていたが、突破されてしまった。だから同様の被害を出さないために、組織は何をすべきか」を考えるのです。
メディアは企業の味方です。良いことも悪いこともきちんと議論し、社会を前進させるというスタンスは、企業もメディアも同じです。その点は理解してほしいですね。
下山:
インシデントが起きたとき、実はチャンスなのではないかと思うことがあります。
例えば、インシデントで不正アクセスやランサムウェアの被害を受けたとき、「どのようにそれを検知したのか」「どれだけ短い時間で検知できたのか」「それに対してどのように対応したのか」を説明することで、「発生したかもしれない被害を抑止できた」と社会に伝えられるからです。
今、サイバー攻撃を受けていない組織はありません。企業は「インシデントが発生した際、どれだけ被害を最小限に抑え、迅速に復旧させるか」に注力しています。そのような状況の中、自社の対応をきちんと説明することで、「この企業は被害を受けたのにうまく対応できた」という評価を得られるのではないでしょうか。
インシデント対応を全てマイナスだと受け止めるのではなく、それを逆手に取って自社をアピールする。こういう発想があってもよいと思います。
上杉:
今回のセッションでいただいたお話には、2つのポイントがあると思います。
1つ目は、企業側がニュースをコントロールするのではなく、正直に情報を伝えることが重要であるということ。もう1つは、早い段階で情報を提供することが大切であり、わからないことは無理に取り繕うのではなく、「わからない」と伝えることです。「メディアは企業の味方である」という言葉を肝に銘じたいと思います。本日は貴重なお話をありがとうございました。