オンライン机上演習でも得られるさまざまな気付き、インシデント対応のポイントは？（2/2 ページ）

[高橋睦美，ITmedia]

　ちなみにArmorisでは、日々発生しているさまざまなセキュリティインシデントや事例を元に、40を超えるシナリオを用意して、参加者の属性やニーズに合わせながら演習を実施しているという。やはり、過去の事例に学ぶ以上の学びはないといえそうだ。

日頃の悩みを率直にぶつけ合い、役割や価値観を確認

　シナリオに合わせて対応を検討し、意見交換を行う演習自体は実質1時間で、残りの時間は、ランチタイムを兼ねたフリーディスカッションとなった。ここでは、「皆さん、これってどうしてます？」と、率直な意見交換が行われ、予想以上の盛り上がりとなった。

　話題の中で特に印象的だったのは、シャドーIT、特にZoomをはじめとするオンライン会議システムの扱いにいずれの参加者も頭を悩ませていることだった。

　オンライン会議に対するスタンスは企業によってさまざまだ。Zoomについては脆弱性の存在が大きなニュースになったこともあり、機密情報の漏えいを懸念して全面禁止にしたり、VPNを経由しないと使えない仕組みにしている企業がある一方で、「基本は禁止だが、取引先によっては使っていることもある」というケースもある。だが、「率直に言って、Web会議をしたからといってどこまで機密が漏れるのか、疑問に思うところもある」という感想も漏れた。

　ほかのクラウドサービスも同様だ。「セキュリティが大事、リスクがあるからといって石橋をたたいて渡らないようだと、世の中から遅れてしまう」という問題意識を抱きつつ、どのように扱うか各社が頭を悩ませているようだ。あまりにガチガチに禁止しても、「使う人はこっそり使ってしまう」という実態も実感しているという。

　一連のディスカッションを絞める形で、大手人材サービス業のCSIRT担当者が述べた「守るべきものは何かを決めていないから、議論がすれ違ったりする。会社として何を守りたいのかという軸を初めに決め、それに基づいて判断するのがいいのではないか」という意見に、多くの賛同が得られていた。

　また、「しばしばセキュリティの文脈であれが危ない、これが危ないという議論があるが、その判断は、自分たちの組織にどのくらいの不利益が出るかで判断すべきだ。セキュリティの人たちだけでビジネスインパクトは測れず、ビジネス側の人とのやりとりも必要。セキュリティをセキュリティの人たちだけのものと考えると、リスクハンドリングを間違える」という印象的なコメントもあった。

　ほかにも話題は、CSIRTの役割分担と社内外の連携、被害に遭った顧客への通知をどのタイミングで、どの範囲まで行うかなど多岐にわたった。並行して、チャットでは全く無関係なゲームの話題が盛り上がるなど、和気あいあいの雰囲気に包まれながら演習は終わった。

　業種や規模の大小はもちろん、技術畑か管理畑かによって、視点も優先順位も異なる。そうした自分とは異なる視点、自社とは異なる視点を得つつ、セキュリティインシデントに取り組む上で押さえるべき共通の考え方やポイントを確認できるーーそうした意味で、「こうした演習にはさまざまな気付きがあり、有意義だった」と参加者の一人は語っている。テレワークを継続する企業もある中、同社は今後もこうしたオンライン演習を開催していく予定だ。