検索
ニュース

元ゲーマーが仕掛けるサイバー攻撃机上演習に、企業のセキュリティリーダーたちが挑む(2/2 ページ)

組織的なインシデント対応力を養う手段として「サイバー攻撃演習」が注目を集めている。

Share
Tweet
LINE
Hatena
前のページへ |       

 社員から幹部が適時に報告を受ける際の心掛けとして三角氏は、「ニコニコして文句を言わず、“ありがとう”と言って聞くこと」とアドバイスした。「ここでの犯人探しは意味を持たない。自分の行動がインシデントにつながった可能性があるとなれば、誰だって隠したくなる。この人に話したら非難されるとなればなおさら。普段から正直に話せるような雰囲気を作っておく必要がある」(三角氏)

分かりやすい報告、分かりにくい報告

 ついに、IT部長から社長に被害の状況が報告された。IT部長は保身の気持ちからこれまでのセキュリティ対策を「万全だった」とし、今回のインシデントは避けがたい事案であったと報告してしまう――

 以前、筆者が取材した別のサイバー攻撃演習では、数時間おきの「経営陣への報告」がプログラムに含まれていた。それは、演習であることを忘れるには十分過ぎるほどの緊張感であった。報告の仕方にもチームの色が出る。あるチームは、次々と巻き起こるインシデントを3つの事案に分けて報告したのだが、冒頭で「3つの報告があります」と前置きがあったことで、聞く側の準備がスムーズにできた。

 さらに、分かりやすいと感じたポイントは以下のように思う。

  • 5分で簡潔に説明していた
  • 重要な話を先にしていた
  • 顧客の立場で何ができないのか、という観点で伝えていた

 印象に残ったのは、経営陣役の一人が発した「インシデント対応の目的は、お客さまに迷惑をかけないこと」という言葉だ。経営陣はこの報告に、「企業としてどう動くべきか判断する材料」を求めている。技術的な内容を列挙されると、何がポイントなのか分かりにくくなってしまう。顧客に一切の心配や迷惑をかけずに事態を収束することは難しいかもしれないが、顧客の視点に立って対応することで、「顧客の心離れ」という最悪のケースを回避できるのではないだろうか。

社外に頼れる協力者はいるか


ホワイトボードを囲んでディスカッションするDチーム

 さて動画では、IT部門の力だけでは対応が難しいという判断から、外部の専門家の協力を仰ぐことになった。招かれた専門家は変わった風貌をしており、IT部長にある提案を持ちかける――

 外部の協力先については、参加者から、ISAC(Information Sharing and Analysis Center)や日本CSIRT協議会などのコミュニティーに参加し、横のつながりを作ることの重要性も挙がった。同業者とのつながりを作ると、どこのベンダーの対応が良かったかといった情報共有も可能になるという。多くの企業にとってセキュリティは非競争領域だ。お互いの堅牢化に役立つ情報であれば、積極的に交換していったほうがよさそうだ。

 鎌田氏は、「セキュリティの分野では、人もお金もない状況は普通のこと。ベンダー、パートナー、コミュニティーなど頼れる相手をたくさん作っておくことが重要」と語った。

危機管理広報の重要性と、経営陣が持つべきITリテラシー

 そもそも記者会見をすべきかどうかから議論の余地はあるが、当局からの依頼で会見をせざるを得ないケースもあるという。矢面に立つのは経営陣(非IT部門)であることが多く、ITリテラシーの高い一部記者からの追及に窮することは想像に難くない。現実的に、経営陣は最低限どのレベルのITリテラシーを有していればよいのか。 

 「今の経営陣に必要なのは、ユーザー目線で分かっているかどうかだ」と鎌田氏は言う。苦手を理由にITに触れようとしない経営陣はまだ少なくない。自社が提供するスマホアプリすら使っていないケースも珍しくはないという。

 技術やセキュリティを知らなくても経営はできる。しかし、顧客への価値を生み出す源泉が、自分が使ってみて、そこから気付きを得ることにあるにもかかわらず、それを部下任せにしていては、「顧客を思っていない」と捉えられても仕方がない。そして、それは重要な局面で露呈してしまうものなのかもしれない。

 鎌田氏は、「サイバーセキュリティに限らず不祥事会見の動画は学びが多く、よく見ている」と明かす。また、『企業不祥事・危機対応 広報完全マニュアル』は10回以上読んでいるという。

幸せなIT環境を安全に運用しよう

 議論は、何を持って完全復旧と判断するか、そして、再発防止策の策定に移った。報告書や再発防止策のアプローチは、公開されている日本年金機構の例などが参考になるだろう。


動画をもとにチームごとにディスカッションし、発表する

 現実のインシデント対応現場では、自らの保身に走って正直に語らず、実態がつかみにくくなる事態も往々にして発生する。平常時に400ページに及ぶ対応マニュアルを作ったものの、渦中で目を通す余裕のある者はおらず、バラバラに行動してしまったという例もある。鎌田氏は、想定通りにはいかない現実を経験したことで改善意識が働き、組織が強くなっていったケースをいくつも目の当たりにしてきたという。

 一方で、一度深刻な被害を受けると、セキュリティを強化する必要にかられ、いたずらに利便性を損う対策を施してしまうケースも多い。それは避けたい。鎌田氏は、「海外のCISOカンファレンスでは、“幸せなIT環境を安全に運用しよう”が合言葉になっている」と紹介し、3時間に及ぶ演習を締めくくった。

 前述の通り、本演習は再演を予定しており、今回のフィードバックを踏まえて鋭意準備中だ。少しでも興味を持っていただけたなら、ぜひ参加してみてはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       
ページトップに戻る