こうした考え方があるために、企業セキュリティへの「危害を削減する」アプローチ(情報流出は起こるものだと認めたうえで、インシデントレスポンスへの支出を行うことで、避けられない事態による被害を最小限にするための手段を講じるというアプローチ)が受け入れにくくなっている。
インシデントレスポンスへの支出を増やすように経営陣を説得するにはどうしたらよいのだろうか。Murray氏は米ZDNetに対して、「情報流出を失敗と見なせば、株式市場の言葉で言えば、基本的に株価暴落に賭けていることになる。自分が破産することに賭けているようなものだ」と説明している。
Forresterの「Planning for Failure」の後半は、インシデントレスポンスのための継続的なプログラムの実施を通して、意志決定者を啓発することに適切に焦点を当てている。それは単に全員参加の避難訓練を年2回実施するというようなことではなく、IT部門以外のスタッフも参加し、部門の壁を越えた、息をする生物のような、進化し続けるプログラムを実施するということだ。
その意味で、この報告書の後半にあるアドバイスは素晴らしいものであり、さらにVeracodeの資料「5 Best Practices in Data Breach Incident Response」も合わせて読むべきだ。
Forresterの報告書を分析してみると、経営陣、意志決定者、そして株主は、それぞれが成長するべきであり、次の情報流出が起こらないことは保証できるというふりをするのはやめなければならないことは明らかである。
しかし同時に、インシデントレスポンスも同様に成熟すべき時期だ。そして、危機に陥った場合に、誰もが冷静でいられるように努めて訓練を行う必要がある。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。