「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び
当日はSlackに“実況チャンネル”も
収穫は他にもあった。過去の訓練と比較して、参加者のモチベーションを維持できている点だ。 「2019年に初めて障害訓練を企画してからずっと携わっていますが、コツコツ積み重ねることで、『freeeは一年に一回、10月に障害訓練をやるんだ』と定番化され、皆が真剣に取り組んでくれています。佐々木大輔CEOも時間をしっかり空けて備えており、訓練に取り組むスタンスが確実に作れていると思います」(土佐CIO) というのも、今回の訓練では参加者のモチベーションを高める新たな施策をいくつか実施しており、それらが奏功したという。 1つ目はルカワくんの漫画による意識の醸成、もう一つは“実況”体制の整備だ。当日は、Slackに“実況チャンネル”を作成。「今、このような状況を付与しており、それに対して皆がこんな動きをしています」と逐次アナウンスし、直接訓練に巻き込まれない社員にもリアルタイムに状況が分かるようにした。社員にとっては気付きを得られる機会になった他「そのまま記録として残せるという意味でもいい取り組みでした」(土佐CIO)という。 訓練の模様を見守っていたSlackの実況チャンネルでも「障害報告を挙げることに対する心理的ハードルが高いのではないか。もっと気軽に報告を挙げられるようなネーミングやインタフェースを考えた方がいいのではないか」といった議論が沸き起こり、土佐CIOや茂岩CISOにとっても参考になったという。部署によってトラブルに対する受け止め方には違いがあるが、エンジニアの世界で言う「心理的安全性」のようなカルチャーを広げていく必要性も感じたとしている。
どこまで共有すべきか・しないべきか エスカレーションの難しさ
現場の声から得られた学びもあった。情報を迅速に共有するのは大事だが、一方で何でもかんでも連携し、エスカレーションすればいいというものではない。 今回、訓練を仕掛けられる側に立った広報担当の品田真季さんは「センシティブな情報でもあるため、キャッチした情報について、今いるメンバーだけで検討した方がいいのか、もっと他のメンバーも巻き込んだ方がいいのかは悩みました。多くの人に伝えることで逆に漏えいしてしまい、二次災害にならないかという懸念もあり、どこまで共有するのかについて考えさせられました」という。 同様の意見はSlack上でも寄せられた。インシデントの種類によっては、情報の公開範囲を必要以上に広げないよう注意を払うべきだという声があったという。 これを踏まえて茂岩CISOは「適切な範囲はどこかという問いに一つの正解はないと思います。ただ、常にそれを意識し、考えて行動することが大事なのだと思います」とした。 エスカレーション範囲の判断材料となる事実確認や調査についても、検討の余地があった。「情報が漏えいしたのではないか」という問い合わせを受けてまず必要になるのは「本当にうちから漏れたのか」の確認だが、これが難しい。他社の事例では、漏えいに関する問い合わせを受けて一度は調査したものの漏えいの事実をうまくチェックできず、より大規模な被害につながったインシデントもある。 「その一回の問い合わせを、会社としてきちんと捉え、しっかり調査に結び付けるのは大事なことです。しかし、来るものを何でもかんでも調査していては工数がいくらあっても足りません。結論として、事実関係をスピーディーに調査できるようなインフラを整えておけば、対応しやすくなるのだろうと思います」(茂岩CISO) 一方で、あらためて評価につながるポイントもあった。 情報漏えいなどのインシデントが発生してしまった場合に、監督官庁などへの報告や顧客への説明が求められる。今回の訓練では「情報漏えいの可能性がある」と判断される一歩手前の段階で、早くも外部への報告などを担当する部署のメンバーが「自分の出番だ」と自ら判断して積極的に参加してくれたという。「連携の初動の部分については課題がありますが、ひとたび連携され、社内に展開されると手続きが回り始めることは確認できました」(茂岩CISO) こうして、毎回少しずつ新たな視点、新たな基軸を盛り込みながら行われてきたfreeeの障害訓練。前回は巻き込まれる立場で参加し、今回初めて仕掛人側に回った茂岩CISOは、シナリオの練り込み方などに反省すべき点はあるとしつつ、「次はどう改善するか、来年に向けて日々考えていこうと思います」と、早速次なる取り組みを検討し始めているという。
ITmedia NEWS
