元ゲーマーが仕掛けるサイバー攻撃机上演習に、企業のセキュリティリーダーたちが挑む(2/2 ページ)
社員から幹部が適時に報告を受ける際の心掛けとして三角氏は、「ニコニコして文句を言わず、“ありがとう”と言って聞くこと」とアドバイスした。「ここでの犯人探しは意味を持たない。自分の行動がインシデントにつながった可能性があるとなれば、誰だって隠したくなる。この人に話したら非難されるとなればなおさら。普段から正直に話せるような雰囲気を作っておく必要がある」(三角氏)
分かりやすい報告、分かりにくい報告
ついに、IT部長から社長に被害の状況が報告された。IT部長は保身の気持ちからこれまでのセキュリティ対策を「万全だった」とし、今回のインシデントは避けがたい事案であったと報告してしまう――
以前、筆者が取材した別のサイバー攻撃演習では、数時間おきの「経営陣への報告」がプログラムに含まれていた。それは、演習であることを忘れるには十分過ぎるほどの緊張感であった。報告の仕方にもチームの色が出る。あるチームは、次々と巻き起こるインシデントを3つの事案に分けて報告したのだが、冒頭で「3つの報告があります」と前置きがあったことで、聞く側の準備がスムーズにできた。
さらに、分かりやすいと感じたポイントは以下のように思う。
- 5分で簡潔に説明していた
- 重要な話を先にしていた
- 顧客の立場で何ができないのか、という観点で伝えていた
印象に残ったのは、経営陣役の一人が発した「インシデント対応の目的は、お客さまに迷惑をかけないこと」という言葉だ。経営陣はこの報告に、「企業としてどう動くべきか判断する材料」を求めている。技術的な内容を列挙されると、何がポイントなのか分かりにくくなってしまう。顧客に一切の心配や迷惑をかけずに事態を収束することは難しいかもしれないが、顧客の視点に立って対応することで、「顧客の心離れ」という最悪のケースを回避できるのではないだろうか。
社外に頼れる協力者はいるか
ホワイトボードを囲んでディスカッションするDチームさて動画では、IT部門の力だけでは対応が難しいという判断から、外部の専門家の協力を仰ぐことになった。招かれた専門家は変わった風貌をしており、IT部長にある提案を持ちかける――
外部の協力先については、参加者から、ISAC(Information Sharing and Analysis Center)や日本CSIRT協議会などのコミュニティーに参加し、横のつながりを作ることの重要性も挙がった。同業者とのつながりを作ると、どこのベンダーの対応が良かったかといった情報共有も可能になるという。多くの企業にとってセキュリティは非競争領域だ。お互いの堅牢化に役立つ情報であれば、積極的に交換していったほうがよさそうだ。
鎌田氏は、「セキュリティの分野では、人もお金もない状況は普通のこと。ベンダー、パートナー、コミュニティーなど頼れる相手をたくさん作っておくことが重要」と語った。
危機管理広報の重要性と、経営陣が持つべきITリテラシー
そもそも記者会見をすべきかどうかから議論の余地はあるが、当局からの依頼で会見をせざるを得ないケースもあるという。矢面に立つのは経営陣(非IT部門)であることが多く、ITリテラシーの高い一部記者からの追及に窮することは想像に難くない。現実的に、経営陣は最低限どのレベルのITリテラシーを有していればよいのか。
「今の経営陣に必要なのは、ユーザー目線で分かっているかどうかだ」と鎌田氏は言う。苦手を理由にITに触れようとしない経営陣はまだ少なくない。自社が提供するスマホアプリすら使っていないケースも珍しくはないという。
技術やセキュリティを知らなくても経営はできる。しかし、顧客への価値を生み出す源泉が、自分が使ってみて、そこから気付きを得ることにあるにもかかわらず、それを部下任せにしていては、「顧客を思っていない」と捉えられても仕方がない。そして、それは重要な局面で露呈してしまうものなのかもしれない。
鎌田氏は、「サイバーセキュリティに限らず不祥事会見の動画は学びが多く、よく見ている」と明かす。また、『企業不祥事・危機対応 広報完全マニュアル』は10回以上読んでいるという。
幸せなIT環境を安全に運用しよう
議論は、何を持って完全復旧と判断するか、そして、再発防止策の策定に移った。報告書や再発防止策のアプローチは、公開されている日本年金機構の例などが参考になるだろう。
動画をもとにチームごとにディスカッションし、発表する現実のインシデント対応現場では、自らの保身に走って正直に語らず、実態がつかみにくくなる事態も往々にして発生する。平常時に400ページに及ぶ対応マニュアルを作ったものの、渦中で目を通す余裕のある者はおらず、バラバラに行動してしまったという例もある。鎌田氏は、想定通りにはいかない現実を経験したことで改善意識が働き、組織が強くなっていったケースをいくつも目の当たりにしてきたという。
一方で、一度深刻な被害を受けると、セキュリティを強化する必要にかられ、いたずらに利便性を損う対策を施してしまうケースも多い。それは避けたい。鎌田氏は、「海外のCISOカンファレンスでは、“幸せなIT環境を安全に運用しよう”が合言葉になっている」と紹介し、3時間に及ぶ演習を締めくくった。
前述の通り、本演習は再演を予定しており、今回のフィードバックを踏まえて鋭意準備中だ。少しでも興味を持っていただけたなら、ぜひ参加してみてはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 世界で最も歩きやすい都市トップ10が発表
- なぜあの人は、いつも成果を出せるのか?── 「ほんとうに」仕事ができる人が持つ2つの資質
- 管理職としてZ世代を率いるリーダーが、チームビルディングのために意識すべき「3つのこと」とは?
- 自動物流道路導入に向け岸田首相がルート選定指示へ 22日のデジタル行財政会議
- 生成AIは人間の仕事を奪わない。3つの懸念点を踏まえつつ、生成AIの積極的な活用を――日本マイクロソフト 西脇資哲氏
- 第25回:メンバーが「自然に本音を話せる1on1」になるまでの3ステップ
- 富士フイルム、ヘルスケアや半導体を中心に1.9兆円投資 今後3年間で
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 「志村の笑いは本物」……俳優・寺田農さんが産経新聞読書面に残した28本のコラムを読む
- AI時代に求められるデータドリブン経営 大事なのは「顧客理解」
事務局からのお知らせ
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。