訓練は想定通り進まず──初動に遅れ

　すでにfreeeでは、コールセンターへの問い合わせの中でも深刻なものはエスカレーションし、必要に応じてセキュリティチームなどと連携してインシデント対応につなげるフローは整備済みだ。訓練でもそれに沿って対応が進むかと思いきや、想定通りにはいかなかった。 　「最初のコンタクトはメールで行われたのですが、しばらくは読まれずに置いておかれました。もう少ししてから今度は電話で問い合わせ、コールセンター内で対応が始まりましたが、しばらくの間、コールセンター内部に閉じての議論や事象の整理が行われ、なかなかリスク管理室やセキュリティチームへの相談にはつながりませんでした」（茂岩CISO） 　ここが、今回の訓練におけるウイークポイントとなった。障害訓練は4時間という限られた時間で実施される。リアリティーを追求するのもいいが、事象の謎解きよりも連携、情報共有と言った本質的な部分に時間を割いてもらえるような工夫がもう少し必要だったかもしれないと反省しているという。 　「情報漏えいのようにすぐにセキュリティ関連と分かる事案ならばすぐに動けたと思いますが、今回は『投資詐欺』という、セキュリティからはやや離れた事象として第一報が入ってきました。それもあって、セキュリティチームへのエスカレーションに思った以上に時間がかかったのかもしれません」（土佐CIO） 　その後、訓練チームからの誘導も受けながら徐々に2つの事象を結び付け「AさんとB税理士法人は、実は同じことを言っている」というところにたどり着いた。後は徐々に関係者が会議室とオンライン、ハイブリッドで集まり「セキュリティインシデントだろう」と仮説が立ってからの動きは迅速だったという。 　「疑わしい人物の名前が出るか、出ないかくらいのタイミングで、持ち出しを行った張本人のログが特定されて共有されました。インシデント対応に当たっている人にまでたどり着けば、後の対応は本当に素早く行えるレベルに達していることをあらためて実感しました」（土佐CIO）