「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び

　別々の窓口に寄せられた情報が統合され、適切にエスカレーションできるか、さらにセキュリティチームや法務、広報といったステークホルダーが加わって普段通りのセキュリティオペレーションにつなげられるかが、ストーリーのポイントだった。

　「通常のサイバー攻撃を受けた際にどうするかを問う訓練は多くありますが、IPA（情報処理推進機構）の10大脅威を見ると、内部不正は上位にランクされています。世の中の動向を見ても大規模なインシデントがちょくちょく発生しているため、内部不正にも目を向け、そういった自体を想定した訓練も実施しておいた方がいいのではないか、という考えが出発点にあります」──“仕掛け人”の一人である茂岩祐樹常務執行役員CISOはこう話す。

　同じく仕掛け人の一人である土佐鉄平CIOは「組織が大きくなるにつれ、内部統制を浸透させる難易度は上がっていきます。また、一見するとそこまで重大な情報が漏れたようには思えなくても、意外や意外、大きな話に広がって返ってくるケースをよく見聞きします。ささいに思えることでも油断ならないというメッセージも出したいと思いました」と狙いを振り返る。

　ちなみに、今回は漫画を使ったカウントダウン形式で訓練を予告したという。通常業務に追われる中での訓練となると、本音では「やりたくないな、仕事の方を進めたいな」と感じても無理はない。そこで、なるべく当事者意識、危機意識を高めて全社で取り組めるよう、オリジナルキャラクター「ルカワくん」が、訓練のヒントとなる“ヒヤリハット”を繰り広げる連載漫画を社内Slackで展開し、訓練に向けた雰囲気を盛り上げたという。

●訓練は想定通り進まず──初動に遅れ

　すでにfreeeでは、コールセンターへの問い合わせの中でも深刻なものはエスカレーションし、必要に応じてセキュリティチームなどと連携してインシデント対応につなげるフローは整備済みだ。訓練でもそれに沿って対応が進むかと思いきや、想定通りにはいかなかった。

　「最初のコンタクトはメールで行われたのですが、しばらくは読まれずに置いておかれました。もう少ししてから今度は電話で問い合わせ、コールセンター内で対応が始まりましたが、しばらくの間、コールセンター内部に閉じての議論や事象の整理が行われ、なかなかリスク管理室やセキュリティチームへの相談にはつながりませんでした」（茂岩CISO）

　ここが、今回の訓練におけるウイークポイントとなった。障害訓練は4時間という限られた時間で実施される。リアリティーを追求するのもいいが、事象の謎解きよりも連携、情報共有と言った本質的な部分に時間を割いてもらえるような工夫がもう少し必要だったかもしれないと反省しているという。