危機管理計画を立てる
学習の目的
この単元を完了すると、次のことができるようになります。
- 危機管理の専任チームを編成することの重要性を説明する。
- 危機管理計画の作成に必要な主なスキルを挙げる。
危機管理チームを編成する
現代社会において、危機管理はどのセキュリティプログラムにも欠かせない重要な要素です。潜在的な脆弱性があれば、すぐ次の攻撃対象になるおそれがあることから、ビジネス全体を保護することは大変な業務です。このため、多くの組織が予防策や防御策に目を向け、危機管理の体系化には十分な注意を向けていません。
危機管理計画を作成する
危機管理計画の作成で極めて重要な点は次のとおりです。
-
部門横断的なチームを編成する。オペレーション、財務、法務、コミュニケーション、人事、技術の各部門の役員も交えたチームを構成します。
-
サードパーティの専門家に意見を求める。重大な危機に瀕したときは、技術、法務、広報、保険の専門家に問い合わせ、先入観のない視点を維持します。
-
主要な法執行機関と規制当局の連絡先を明記する。危機が発生する前からこうした連絡先との関係を構築し、災害への対応時にスムーズに連携できるようにします。
-
綿密な計画を立てる。効率的なリーダーは、さまざまなロールや職務の人々の陣頭指揮をとるために、危機が生じる前から綿密に検証します。
-
代替的なコミュニケーション手段を検討する。賢明なリーダーは、組織の中核的なインフラストラクチャに依存しないコミュニケーション方法を検討します。
-
バックアップとなるハードコピーを維持する。手順や連絡先、その他の重要なドキュメントのハードコピーを作成しておきます。
-
世界各地の規制法を遵守する。インシデントへの対応に関する規制に組織が従っていることを確認します。
-
さまざまな危機に対する準備を整える。各種の潜在的な攻撃の動機と目的を検証します。
-
定期的に机上演習を実施する。現実的な架空のシナリオに従って、意思決定プロセスとコミュニケーションプロセスをシミュレートし、準備が整っていることを確認します。
-
一般向けの声明を用意しておく。組織が声明を出さなければ、他の人々、特に多数の「自称エキスパート」が嬉々として憶測します。
-
ビジネスのダウンタイム中も警戒を怠らない。業務時間外や年末年始の休暇中に侵害が生じることも少なくありません。
-
テクノロジーに過度に依存しない。危機に対応時にシステムや通信手段を利用できない可能性があります。代替リソースの計画を立てておきます。
危機管理計画を作成するときは、透明性と同じくらい適時性が重要になる点に留意します。お客様のプライバシーとセキュリティについて真剣に考え、透明性の高い方法で遅滞なく対応していることをお客様に示せば、逆境に直面してもお客様を維持し、組織の評判を守ることができます。簡潔なコミュニケーションを心がけ、次に何をすべきかをお客様に明確に指示し、悪意のある攻撃者によるさらなる不正行為の阻止に務めます。正式な連絡と偽の連絡を区別する方法をお客様に伝え、詳細情報を求めて電話をかけてきたお客様を電話番号などの別の方法で本人確認できるようにします。
まとめ
この単元では、組織が危機管理計画を整備する理由とその方法についてさらに説明しました。具体的には、部門横断的なチームを活用し、コミュニケーションや管理プロセスを文書化し、バックアップとして使用するコミュニケーションチャネルを確立する方法を習得しました。危機管理の方法に対する理解が深まったところで、次は自然災害やサイバー攻撃からの復旧計画について見ていきます。
リソース
-
PDF: NIST: Contingency Planning Guide for Federal Information Systems (連邦情報システムの緊急時対応計画ガイド)
-
PDF: NIST: Computer Security Incident Handling Guide (コンピューターセキュリティインシデントの処理ガイド)
-
外部サイト: SANS: Incident Handler’s Handbook (インシデント管理者のハンドブック)