データ漏えいに備える
業務への影響を洗い出す
役員や幹部はデータ漏えいによって自社の業務にどの程度の影響がおよぶのかを押さえておく必要がある。営業機会の損失のほか、信用の低下、市場シェアの低下、制裁金、改善コスト、場合によっては裁判費用など、サイバー攻撃に備えて考えておくべき要素は枚挙にいとまがない。
他にも、企業イメージの悪化や、顧客情報が盗まれた際に無料で引き受けることになるクレジット監視は何年にもおよぶ可能性があり、そうなれば成長の機会を奪われる結果となる。
Dillon氏は「顧客は忘れない。彼らは詳しい状況までは知らないかもしれないが、事件が起こったという事実や、自らがどのように感じたのかについては覚えている」と語っている。
リスクを自らのものとする
会社として、上記の影響を洗い出したのであれば、次はデータ漏えいという事態に準備できているか、あるいはしっかりとデータを保護できているか、さらには既にデータ漏えいが発生していないかを見極める必要がある。両氏によると、現代の企業はセキュリティというレンズを通して操業するとともに、業務の遂行に必要不可欠なデータを特定したうえで、その効果的な保護方法を決定しておく必要があるという。
規制当局が要求するセキュリティ関係の手順と慣行への準拠だけでは十分とは言い難い。幹部や意志決定者は業務上のニーズを満足させつつネットワークとデータの保護について熟考し、自社の意思決定プロセスを改善していく必要もある。
実行可能な計画を用意する
会社としてインシデント対応計画を用意していない、あるいは期待通りの成果を発揮するかどうかを実際にテストしていない場合、データ漏えいによって長い目で見るとより高価な代償を支払う羽目になるはずだ。Mandiantの両氏は、インシデント対応計画を用意し、人的資源を組織化し、役割を明確に割り当てて社内チーム間のコラボレーションへの取り組みを増すことで、侵入に対して迅速に対応でき、データ漏えいによって引き起こされる被害を最小限に食い止められると述べている。
また、社内のセキュリティチームに対してサポートを提供するか、ネットワーク保護に特化した社外の企業にアウトソーシングするのかを検討することも重要だ。
いずれの場合も、最悪のシナリオを考慮するとともに、セキュリティに関係する意思決定には子会社やサプライヤーを含めておくことが、しっかりした対応計画を作成するうえで最も重要となる。