金融機関にふさわしい対応の在り方を問うた「サイバークエストIV」本番より過酷な演習で転んだ経験をサイバー犯罪対策の最前線に生かせ(2/3 ページ)

» 2020年04月22日 07時15分 公開
[高橋睦美ITmedia]

 ただ、レッドチームリーダの宮内雄太氏(みずほフィナンシャルグループ データマネジメント部 サイバーセキュリティチーム)によると「細かな技術的なところは年々変化しているが、不正アクセスや改ざん、DDoS、標的型攻撃といったインシデントのベースとなるシナリオは変わらないし、どう対応すべきかのベースも定まっている」という。昨今話題になっている攻撃を盛り込み、「実際にこういう攻撃を受けるんだ」と脅威を身近なものとして体感してもらいつつ、本質的な対応のポイントを伝えていくことを念頭に置いて企画しているという。

真に問われるのはコミュニケーションと情報共有、連携のスキル

 参加チームは、会場に用意されたホワイトボードを用いて情報を整理し、別室にいる技術チームと連携しながら対応していく――と、言葉で書いてしまうと簡単だが、実際にはそう簡単にはいかない。情報が錯綜(さくそう)したり、どの問題から手をつけるべきかの認識がずれてしまったりするのは当たり前。そんな中でさらに新たなインシデントが降ってくるものだから、参加者は必死の形相でタスクに取り組む。時には、顧客に良かれと思うあまり、経営層に諮ることなくサービスを停止してしまうといった勇み足も発生する。

 サイバークエストでは加えて、突発的なイベントが起こる。「顧客の情報漏えいが発生し、ネットに書き込みがあるが、これはどういうことか」と金融庁から厳しく説明を求められたり、作業していたら突然千葉県警がサーバの押収を求めに来たりするのだ。しかも踏み込んでくるのはいずれも、オブザーバーとして見学に来ている「本物」。現実のインシデント発生時さながらの迫力で詰め寄られることになる。

 その上、合間にはCISOから「この時間までに、かくかくしかじかの事象について調査して報告せよ」と指示が降りてくる。そんなこんなで、夜中まで話し込み、作戦会議に没頭するチームがあるのは毎回恒例の光景だ。

 さて、ほぼ一昼夜に渡る演習を通して浮かび上がってくるのは、個別の事象への対応力もさることながら、対応におけるスピード感の重要性。そして、全体を見通す視点の必要性だ。

 サイバー攻撃は秒単位でやってくる。にもかかわらず、タイムリーな報告がなければ、企業として適切な意思決定も何もできない。立て続けにインシデントが続いている時だからこそ、迅速に、あるいは定期的に状況をまとめて報告することが重要になる。

 だが今回、「役員室」で法務担当役員役としてサイバークエストに参加した稲垣隆一弁護士は、「サイバークエストが始まってさまざまな事象が発生しているはずなのに、役員室で待てど暮らせど、待機していたCISOへの報告が来なかった」と指摘した。

 また、何かインシデントが起きてしまうと、ついついその解決という一点に皆が集中してしまいがちだ。だがそれによって、他のインシデントや今後注意を払うべき事柄への注意が散漫になってしまうと、より深刻な結果を招く恐れがある。参加者は演習を通じて、全体を俯瞰して把握し、適切なリソースの割り当てや役割分担を担うことの重要性を認識したようだ。

そのレポートじゃ分からない、 役員への「報告会」で浮かび上がった課題

 こうして一通り対応を終えた後、2日目の午後には「役員報告会」が行われた。

 報告会は10分という持ち時間の中で、2日間で何が起きたかを役員に報告する場という設定だ。「相手」、この場合は役員・経営層が欲する情報をどのように伝えるかが問われるが、各チームの発表からはいくつか改善すべきポイントが浮かび上がってきた。

CISO役から次々厳しい指摘が相次いだ「役員報告会」

技術的な事柄ばかり事細かに報告してしまう

 「ファイアウォールの脆弱性を突いた攻撃を受けたので、SSHのインタフェースを変えて……」「外部のこのIPアドレスと通信を行っていたので遮断を……」と、技術的に判明した事柄を事細かく羅列するのはいいのだが、結局ビジネスの観点で「何が起きたか」が分からないケース。

 こうした発表があっても役員室からは、「正直言って役員にとって、攻撃者のIPアドレス情報はどうでもいい」という反応が返ってくるだけで、「相手が何を欲しているか」を踏まえた報告が重要だと指摘した。説明を求められた場合に詳細な情報を述べるのはいいが、初めから技術的なことがらばかり細かく説明してもポイントは伝わらない。A4一枚のエグゼクティブサマリーはそのためにあるはずだ。

事象の結果、どんな影響が生じたか、生じ得るかが分からない

 サーバが侵害を受けたのも問題だが、経営層にとって問題なのは「その結果、ビジネスにどんな影響があるか」だ。影響範囲が分からなければ優先順位もつけられない。

 あるチームは「この事象で影響を受けるのは“十数人くらい”」とあいまいな報告を行ってしまったが、「くらい」ではなく、明確に何人の顧客に影響があるのか、分からないならば最大でどのくらいの影響が生じうるかを明確に示さないと、経営側では不安ばかりが膨らんでしまう。まずは“”最大でどのくらいの影響があるか”という外堀を明確にすることが重要だ」と指摘を受けた。

次にどう行動すべきかが分からない

 報告の目的は報告それ自体ではない。過去に起きた事象を報告した上で、次に経営層は何をすべきなのか、顧客はじめ関係者に対してどんなアクションをすべきかにつなげることが報告の目的であるはずだが、そこまで踏み込んだ提案はなかなか得られなかった。これでは、意思決定を下そうにも下せない。

 一連の発表を踏まえて稲垣氏は「システムを相手にしていたとしても、大事なのは顧客目線だ。一人一人の顧客の取引がわれわれの利益の源泉であり、社会的使命でもある。その観点から事象を把握し、説明することが必要だ」と指摘した。

 また、同じく役員役を務めたGMOあおぞらネット銀行の金子邦彦氏は、全体的にスピード感が足りなかったと指摘した上で、

  • 何か約束事をするならば、必ず「締め切り」「期日」を設定する
  • それに向けてフォーマット・テンプレートを作る

ことで、時間経過に伴う差分を明らかにしつつ、スピーディーに定期的に報告できるようになるとアドバイスした。

 サイバークエストでは、最後に情報漏えいの発生をおわびする「記者会見」(参加者によるフラッシュ撮影付き)が行われるのも恒例となっているが、「相手が何を欲しているか」を考えて伝える癖をつけることができれば、こうした場でも役に立つだろう。もちろん、現実にはそんな記者会見が起きないのが一番だが……。

情報漏えいの発生を踏まえて「記者会見」。参加者もカメラマン役となってシャッターを切る

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

根来龍之

早稲田大学商学学術院教授

根来龍之

小尾敏夫

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

郡山史郎

株式会社CEAFOM 代表取締役社長

郡山史郎

西野弘

株式会社プロシード 代表取締役

西野弘

森田正隆

明治学院大学 経済学部准教授

森田正隆