金融機関にふさわしい対応の在り方を問うた「サイバークエストIV」：本番より過酷な演習で転んだ経験をサイバー犯罪対策の最前線に生かせ（3/3 ページ）

[高橋睦美，ITmedia]

転んだ経験があったからこそ実現、物事を整理した素晴らしい報告

　一方、「前回やり残したことのリベンジを果たしたかった」と参加したCチームは、最も頻繁に攻撃を受けるNext Generationだったにもかかわらず、「経営層」が何を欲しているかを踏まえた見事な報告を行った。過去のサイバークエストで「転んだ」経験が大きく物を言ったようだ。

　Cチームの報告では、どんな事象が起き、その結果、情報漏えいや不正送金といった被害が何件生じているのか、顧客にどんな影響があるかを明示した。限られた演習時間の中で完全に解明できていない問題もあったが、「その中でも分かっている事柄は何か」「何が分からないため調査中か」といった事柄を整理。さらに、起きた事象を時系列に並べた資料も用意し、「速やかに、記者会見も含む対応を行うことを推奨します」と提案するほどだった。

参加者全員で役員報告会を聞き、学びを共有する

　チームリーダーとして発表を行った人物は、日々の仕事で役員向け資料を作成しており、それが役に立ったのではないかと振り返っている。「金融機関はけっこう社内演習をやっているけれど、サイバークエストに参加すると、それと実際のインシデントはやっぱり違うと思い知らされる。普段と違って非常に負荷がかかった状態でどんなことが求められるかが分かったのが、参加して一番大きなこと」と述べていた。

　CISO役を務めた森山拓哉氏は、「“分かる”の語源は“分ける”という言葉にある。物事を適切に分けてうまく整理できれば、分かりやすくなる。何をどういう風に分解するかが、物事を進めやすくなるか、理解しやすくなるかに直結する」と述べ、何をどう分けるかを考え直してみるのも1つのトレーニングになるとした。

　稲垣氏はさらに、各金融機関ではすでに何らかの「ルール」を定めているはずだが、うまく物事を分けていくにはそうしたルールの中で何が必要かを考えることが重要だとした。そして、ルールを単なるルールに終わらせず血肉にしていくために何が必要か、仕事に役立たせ、インシデントに対処する上で本当に役立つところにまで持っていくには何が必要かを、それぞれの会社で考え、環境を整備していってほしいとした。

金融機関なればこそ求められる能力と視点とは

　報告会の後に行われたパネルディスカッションでは、演習全体を通して、現業と経営層をつなぐ「第二線」の人材に求められる「通訳能力」の重要性を指摘するコメントが目立った。

　今や金融機関もほぼITシステムに依存して成り立っている以上、役員レベルでもある程度の概要については、肌感覚で分かってもらう必要があるだろう。ただ、事細かな込み入った専門用語を経営層やIT以外の人たちにも分かりやすい言葉に置き換え、優先順位、物事の重要性を理解してもらう通訳の役割が重要であり、それによって現場の作業も前に進むことができるとスピーカーは口をそろえた。

　また、グループ間の連携やコミュニケーションが問われる事例も増えている。サイバークエストIVも、「共助」を意識した構成となっており、森山氏は「サイバー対策は競争領域ではなく、互いに、皆が協力して対応することが大切だ」とあらためてコメントした。そして、自分たちでできること、やるべきことをしっかりやった上で、金融ISACのような場に参加し、仲間を増やしていくことが必要だとした。

　オブザーバーとして参加して、各チームに厳しい指導を行った金融庁も、こうした取り組みをぜひ後押ししていきたいという。担当者は、「怖いのは、こうしたインシデントが10分後、30分後にも起きるかもしれないこと。その意味で、コンティンジェンシープランやCSIRTがどの程度実効性を持っているのかを把握し、高めるために、継続的な人材育成や訓練を進めていってほしい」と述べた。

　もう一つ大事なことがある。こうした取り組みを進めるには、ある種の「志」が不可欠なことだ。「割り振られた個々の仕事を遂行するのは重要だが、それだけでいいのか、金融機関に求められる“品格”に準じた対応が求められるのではないか」と稲垣氏はいう。

法務担当役員役として参加した稲垣隆一弁護士は「我が社にふさわしい対応」を考えてほしいと呼びかけた

　「我が業界、我が社にふさわしい対応はどうあるべきかという思想や哲学が必要だ。金融機関は社会の基盤であり、血液の役割を果たしており、もし動かなくなったら社会に多大な影響が生じてしまう。なればこそ、それにふさわしい課題解決のスピードやコンプライアンスレベルがあるはず」と、大所高所の意識を持って対応に当たっていってほしいと呼びかけた。