闇バイトや投資詐欺の脅威が頻繁に取り沙汰される昨今。サイバー攻撃や内部不正、不手際によって自社から情報が漏れるのも怖いが、一連の犯罪に悪用される事態はさらに恐ろしい。「弊社をかたる詐欺を確認したのだが、御社から漏れた情報を使っているんじゃないか?」──いま、企業が一番聞きたくない言葉の一つだだろう。
一方で、これに近い事態を想定したセキュリティ訓練を社内で実施し、万一に備える企業もある。クラウド型会計・人事サービスを提供するフリー(freee)だ。過去にも報じてきた通り、freeeでは2018年10月に発生した大規模障害を風化させないため、毎年10月に全社的な障害訓練を実施してきた。
参考記事:「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
過去には「ランサムウェア感染」「脆弱性を突かれての情報漏えい事故」を模した訓練も行われたが、24年は漏えいした情報が悪用された可能性が同時多発的に浮上したとき、社内で適切に連携できるかどうかがテーマになった。
●「投資詐欺を確認」複数件、結び付けられるか? 訓練の全体像
freeeは過去の訓練でも、顧客の苦情を受け付けたコールセンターや、報道陣から問い合わせを受けた広報室など、複数の部署を巻き込んだシナリオでの訓練を実施してきた。今回はさらに深掘りし、インシデント対応やシステム開発・運用の部署ではなく、ビジネス組織を起点とした連携をテーマにしてシナリオを作成したという。
大まかな流れはこうだ。ある日、コールセンターに顧客A氏から「税理士の名前をかたった投資詐欺に遭ってしまいました。freeeさんにもちょっと調査を手伝ってもらえませんか?」と連絡が入った。
それとほぼ時を同じくして、別の窓口にはB税理士法人から問い合わせが入った。「自分の会社の情報を用いて、偽の投資話を持ちかけるディープフェイクの動画が作られている。どういうことだろう」
全く無関係に見える2つの問い合わせだが、実は同じ原因に端を発していた。ずさんな管理がされていた個人情報を、業務委託をしていた人物が持ち出し、漏えいしてしまったのだ。しかもその情報は詐欺グループの手に渡ってしまい、税理士をかたって詐欺を持ちかけるディープフェイクが作られ、被害者が出てしまった──という構図だ。
別々の窓口に寄せられた情報が統合され、適切にエスカレーションできるか、さらにセキュリティチームや法務、広報といったステークホルダーが加わって普段通りのセキュリティオペレーションにつなげられるかが、ストーリーのポイントだった。
「通常のサイバー攻撃を受けた際にどうするかを問う訓練は多くありますが、IPA(情報処理推進機構)の10大脅威を見ると、内部不正は上位にランクされています。世の中の動向を見ても大規模なインシデントがちょくちょく発生しているため、内部不正にも目を向け、そういった自体を想定した訓練も実施しておいた方がいいのではないか、という考えが出発点にあります」──“仕掛け人”の一人である茂岩祐樹常務執行役員CISOはこう話す。
同じく仕掛け人の一人である土佐鉄平CIOは「組織が大きくなるにつれ、内部統制を浸透させる難易度は上がっていきます。また、一見するとそこまで重大な情報が漏れたようには思えなくても、意外や意外、大きな話に広がって返ってくるケースをよく見聞きします。ささいに思えることでも油断ならないというメッセージも出したいと思いました」と狙いを振り返る。
ちなみに、今回は漫画を使ったカウントダウン形式で訓練を予告したという。通常業務に追われる中での訓練となると、本音では「やりたくないな、仕事の方を進めたいな」と感じても無理はない。そこで、なるべく当事者意識、危機意識を高めて全社で取り組めるよう、オリジナルキャラクター「ルカワくん」が、訓練のヒントとなる“ヒヤリハット”を繰り広げる連載漫画を社内Slackで展開し、訓練に向けた雰囲気を盛り上げたという。
●訓練は想定通り進まず──初動に遅れ
すでにfreeeでは、コールセンターへの問い合わせの中でも深刻なものはエスカレーションし、必要に応じてセキュリティチームなどと連携してインシデント対応につなげるフローは整備済みだ。訓練でもそれに沿って対応が進むかと思いきや、想定通りにはいかなかった。
「最初のコンタクトはメールで行われたのですが、しばらくは読まれずに置いておかれました。もう少ししてから今度は電話で問い合わせ、コールセンター内で対応が始まりましたが、しばらくの間、コールセンター内部に閉じての議論や事象の整理が行われ、なかなかリスク管理室やセキュリティチームへの相談にはつながりませんでした」(茂岩CISO)
ここが、今回の訓練におけるウイークポイントとなった。障害訓練は4時間という限られた時間で実施される。リアリティーを追求するのもいいが、事象の謎解きよりも連携、情報共有と言った本質的な部分に時間を割いてもらえるような工夫がもう少し必要だったかもしれないと反省しているという。
「情報漏えいのようにすぐにセキュリティ関連と分かる事案ならばすぐに動けたと思いますが、今回は『投資詐欺』という、セキュリティからはやや離れた事象として第一報が入ってきました。それもあって、セキュリティチームへのエスカレーションに思った以上に時間がかかったのかもしれません」(土佐CIO)
その後、訓練チームからの誘導も受けながら徐々に2つの事象を結び付け「AさんとB税理士法人は、実は同じことを言っている」というところにたどり着いた。後は徐々に関係者が会議室とオンライン、ハイブリッドで集まり「セキュリティインシデントだろう」と仮説が立ってからの動きは迅速だったという。
「疑わしい人物の名前が出るか、出ないかくらいのタイミングで、持ち出しを行った張本人のログが特定されて共有されました。インシデント対応に当たっている人にまでたどり着けば、後の対応は本当に素早く行えるレベルに達していることをあらためて実感しました」(土佐CIO)
●洗い出せた「情報共有の難しさ」
とはいえ初動の遅れもあって、予定していたシナリオを全て完了できず、達成度は7割程度にとどまった。ただし参加者は真剣に取り組んでおり「この場合、どうするのが最善か」を議論していたという。「訓練というとどこか冷めてしまうことも珍しくありません。しかし、参加者は訓練に没入してくれ、実施したかいがあると思いました」(茂岩CISO)
そして今回も、これまでとは異なる切り口から、また新たな課題を洗い出すことができた。
「サポートとセールス、それぞれ別々に連絡が行ったときに、思った以上に情報の合流に時間がかかることが分かりました。組織が大きくなり、部署ごとのカルチャーにも微妙に違いがある中での情報の共有には難しさがあるという学びが得られ、まだまだやれることもたくさんありそうだと思いました」(土佐CIO)
セキュリティ機器が発するアラートがあまりに多すぎ、どれは無視してもよくて、どれをエスカレーションすべきかの判断には、一定の知見が必要となる。同じように、今回の障害訓練では、ある部署から別の部署、あるいは経営層へのエスカレーションをどのように行うかの取捨選択に迷う場面があったという。それも決して面倒だからというわけではなく、相手を不必要に混乱させたくないと、よかれと思っての行動だった。
「現場には、関係のない事柄までエスカレーションして社内をかき回すことは控えておこう、といった意識があるのも事実です。今回のようなちょっと複雑な事象に対して『これはインシデントの可能性が高い』と確度が高まるところまで自分たちで調査するのはいいことですが、そのプロセスをもっとスピーディーにする手続きを作るべきかなと感じました」(茂岩CISO)
すでにfreee内では、典型的な問い合わせについては手順が組まれており、サポートはまずその手順に沿って顧客とコミュニケーションを取りながら確認を行う。それでも問題が解消しなかった場合にはいよいよ怪しいと判断し、エンジニアなど他のチームに連携するようにしているが、この一連の手順をさらに改善していきたいという。
「具体的にどうするかはこれからですが、普段はどのようなプロセスで対応しており、今回はどこが課題になり、どこで引っ掛かっていたのか、何があればもっとスピードを上げられるのかといった事柄を、サポート部門と一緒に議論して手順を組んでいきたいと思いました」(茂岩CISO)。ある程度“型化”して誰にでも判断できるようにすることで、本当に重要な情報が迅速に上がってきやすくなると期待している。
●当日はSlackに“実況チャンネル”も
収穫は他にもあった。過去の訓練と比較して、参加者のモチベーションを維持できている点だ。
「2019年に初めて障害訓練を企画してからずっと携わっていますが、コツコツ積み重ねることで、『freeeは一年に一回、10月に障害訓練をやるんだ』と定番化され、皆が真剣に取り組んでくれています。佐々木大輔CEOも時間をしっかり空けて備えており、訓練に取り組むスタンスが確実に作れていると思います」(土佐CIO)
というのも、今回の訓練では参加者のモチベーションを高める新たな施策をいくつか実施しており、それらが奏功したという。
1つ目はルカワくんの漫画による意識の醸成、もう一つは“実況”体制の整備だ。当日は、Slackに“実況チャンネル”を作成。「今、このような状況を付与しており、それに対して皆がこんな動きをしています」と逐次アナウンスし、直接訓練に巻き込まれない社員にもリアルタイムに状況が分かるようにした。社員にとっては気付きを得られる機会になった他「そのまま記録として残せるという意味でもいい取り組みでした」(土佐CIO)という。
訓練の模様を見守っていたSlackの実況チャンネルでも「障害報告を挙げることに対する心理的ハードルが高いのではないか。もっと気軽に報告を挙げられるようなネーミングやインタフェースを考えた方がいいのではないか」といった議論が沸き起こり、土佐CIOや茂岩CISOにとっても参考になったという。部署によってトラブルに対する受け止め方には違いがあるが、エンジニアの世界で言う「心理的安全性」のようなカルチャーを広げていく必要性も感じたとしている。
●どこまで共有すべきか・しないべきか エスカレーションの難しさ
現場の声から得られた学びもあった。情報を迅速に共有するのは大事だが、一方で何でもかんでも連携し、エスカレーションすればいいというものではない。
今回、訓練を仕掛けられる側に立った広報担当の品田真季さんは「センシティブな情報でもあるため、キャッチした情報について、今いるメンバーだけで検討した方がいいのか、もっと他のメンバーも巻き込んだ方がいいのかは悩みました。多くの人に伝えることで逆に漏えいしてしまい、二次災害にならないかという懸念もあり、どこまで共有するのかについて考えさせられました」という。
同様の意見はSlack上でも寄せられた。インシデントの種類によっては、情報の公開範囲を必要以上に広げないよう注意を払うべきだという声があったという。
これを踏まえて茂岩CISOは「適切な範囲はどこかという問いに一つの正解はないと思います。ただ、常にそれを意識し、考えて行動することが大事なのだと思います」とした。
エスカレーション範囲の判断材料となる事実確認や調査についても、検討の余地があった。「情報が漏えいしたのではないか」という問い合わせを受けてまず必要になるのは「本当にうちから漏れたのか」の確認だが、これが難しい。他社の事例では、漏えいに関する問い合わせを受けて一度は調査したものの漏えいの事実をうまくチェックできず、より大規模な被害につながったインシデントもある。
「その一回の問い合わせを、会社としてきちんと捉え、しっかり調査に結び付けるのは大事なことです。しかし、来るものを何でもかんでも調査していては工数がいくらあっても足りません。結論として、事実関係をスピーディーに調査できるようなインフラを整えておけば、対応しやすくなるのだろうと思います」(茂岩CISO)
一方で、あらためて評価につながるポイントもあった。
情報漏えいなどのインシデントが発生してしまった場合に、監督官庁などへの報告や顧客への説明が求められる。今回の訓練では「情報漏えいの可能性がある」と判断される一歩手前の段階で、早くも外部への報告などを担当する部署のメンバーが「自分の出番だ」と自ら判断して積極的に参加してくれたという。「連携の初動の部分については課題がありますが、ひとたび連携され、社内に展開されると手続きが回り始めることは確認できました」(茂岩CISO)
こうして、毎回少しずつ新たな視点、新たな基軸を盛り込みながら行われてきたfreeeの障害訓練。前回は巻き込まれる立場で参加し、今回初めて仕掛人側に回った茂岩CISOは、シナリオの練り込み方などに反省すべき点はあるとしつつ、「次はどう改善するか、来年に向けて日々考えていこうと思います」と、早速次なる取り組みを検討し始めているという。