下がらなかった株価、ノルスク・ハイドロへの好意的な反響
このような、社内外へのコミュニケーションと記者会見の組み合わせがステークホルダーには歓迎された。顧客には、なぜ注文した製品が納入されないのか、これらの情報を通じて理解でき納得され、また、同社が生産と供給を再開するためにできる限りのことを行っていることが理解された注6。また、社員に対して情報共有を適切に実施した結果、各拠点の社員は顧客に対して社内の状況を的確に伝えることができた。この点も、顧客の理解につながった。
「私が知る限り、私どものとった戦略と広報について批判的なフィードバックはなかったと思います(図3)。逆に、このサイバー攻撃中の広報活動については、ノルウェー国内とヨーロッパで複数回、賞を受賞しています」(モランド氏)。
図3 ノルスク・ハイドロの情報公開に対する対外的な反響
ノルスク・ハイドロの、積極的でオープンなコミュニケーションを通じて会社の実態を内外に情報公開したことで、好意的なフィードバックが多かった。
出所 Halvor Molland, “The cyber attack on Hydro”, 「第5回 重要インフラサイバーセキュリティコンファレンス」(2021年2月10日)より
モランド氏は、強調する。「各社のCFO(最高財務責任者)やIR担当の方々に申し上げたいのは、総従業員数3万4,000人の多国籍企業であるノルスク・ハイドロが、ノルウェー最大のサイバー攻撃を受け、2万3,000人の従業員がいる中核事業の生産能力の5割を一夜にして失ったのに、株価が上昇したということです。つまり、市場は当社の対応を見て、十分この事案を克服できると判断したわけです。実際、私たちはサイバー攻撃を乗り越え復活しました。しかし、それは長く厳しい道のりで、全社員の長きにわたる努力の結果、3カ月かけてやっと、通常操業に近い形の復旧を成し遂げたのです。」
▼ 注6
当時、事件は世界でも大ニュースとなり、不幸なことに、ノルスク・ハイドロの後にも多くの企業が攻撃され、それは現在でも続いている。
ノルスク・ハイドロの緊急対応の体制・計画と教訓
〔1〕数年も前から行っていた社内緊急対応のための訓練
図4は、ノルスク・ハイドロの緊急対応体制および、さまざまな計画の位置づけを示したものである。
図4 ノルスク・ハイドロの緊急対応体制および行動計画
出所 Halvor Molland, “The cyber attack on Hydro”, 「第5回 重要インフラサイバーセキュリティコンファレンス」(2021年2月10日)をもとに一部加筆修正して作成
まず、問題が発生したら可能な限り、各プラントなど拠点レベルで解決を試み、その後状況に応じてエスカレーション(段階的に上位の上司に報告)する体制だ。しかし、今回のサイバー攻撃ではその被害が全社に及んだために、会社全体で対応することになった。
同社は、数年も前から社内訓練の一環として、緊急対応のための練習を行っていたため、実際にサイバー攻撃に合った際、社員は計画に従って行動を行ったという。COVID-
19が流行した現在でも、サイバー攻撃時に採った危機管理対応と同じ方法の一部を、活用しているようだ。
〔2〕2019年3月19日の事件から得た重要な教訓
モランド氏は、「2019年3月19日の事件から得た重要な教訓は、まず製造業にとってサイバー危機やサイバー攻撃は想定されうるさまざまな出来事の1つという点です。したがって、火事や停電などと同じように備えをしておくべきなのです」と語り、当時の経験から学んだ内容を次のように述べた。
- 十分に機能している緊急対応組織の確立(明確な役割と責任分担)
- サイバーセキュリティに関する意識をもち、全社的なリスクの整理を公表する〔3年前からサイバーイベント(事象)もリスク項目に掲載〕。
- オペレーションに関する緊急時の計画:すべての機械や製造設備を可能な限り手動でのオペレーションに切り替えられるようにしておく。
- バックアップソリューションを稼働可能な状態に維持しておく。
- 公開性(オープン)と透明性による協力関係の重要性
- 政府当局、業界関係者、他企業などと連携し、インシデントを報告し情報共有することで、自社あるいは他社への攻撃を未然に防いだり、類似の攻撃を回避できる。
- 留意すべき点
- (インシデントの進行中の)フェーズ2の攻撃の可能性:ネットワークの接続環境をすぐに復旧したいと(上層部に)いわれても、ゆっくり慎重に進めるべき。
- 組織の疲弊、長期にわたる重労働:対応に時間がかかり、会社は長い間重い負担を負うことになるため、社員を疲弊させてはならない。人事部と協力して、長期化する復旧作業にあたる社員の疲労管理を行うこと。
- 攻撃を受けた後の不正行為や二次的な詐欺の増加に対処すること。
モランド氏は最後に、「インシデント中は、IT部門が常に主導権をとってリードし、復旧作業のスピードと同時に、安全性と信頼性とのバランスを保つことが極めて重要になります。また、攻撃された当初、他企業の方から、“本当のチャレンジは3日目でも7日目でもなく100日目に訪れる”という助言もいただきました。対応には時間がかかり、会社は長い間重い負担を負うことになりますから、社員を疲弊させてはいけません」と、全社一丸となって復旧に取り組む重要性を語った。