「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び

　「情報漏えいのようにすぐにセキュリティ関連と分かる事案ならばすぐに動けたと思いますが、今回は『投資詐欺』という、セキュリティからはやや離れた事象として第一報が入ってきました。それもあって、セキュリティチームへのエスカレーションに思った以上に時間がかかったのかもしれません」（土佐CIO）

　その後、訓練チームからの誘導も受けながら徐々に2つの事象を結び付け「AさんとB税理士法人は、実は同じことを言っている」というところにたどり着いた。後は徐々に関係者が会議室とオンライン、ハイブリッドで集まり「セキュリティインシデントだろう」と仮説が立ってからの動きは迅速だったという。

　「疑わしい人物の名前が出るか、出ないかくらいのタイミングで、持ち出しを行った張本人のログが特定されて共有されました。インシデント対応に当たっている人にまでたどり着けば、後の対応は本当に素早く行えるレベルに達していることをあらためて実感しました」（土佐CIO）

●洗い出せた「情報共有の難しさ」

　とはいえ初動の遅れもあって、予定していたシナリオを全て完了できず、達成度は7割程度にとどまった。ただし参加者は真剣に取り組んでおり「この場合、どうするのが最善か」を議論していたという。「訓練というとどこか冷めてしまうことも珍しくありません。しかし、参加者は訓練に没入してくれ、実施したかいがあると思いました」（茂岩CISO）

　そして今回も、これまでとは異なる切り口から、また新たな課題を洗い出すことができた。

　「サポートとセールス、それぞれ別々に連絡が行ったときに、思った以上に情報の合流に時間がかかることが分かりました。組織が大きくなり、部署ごとのカルチャーにも微妙に違いがある中での情報の共有には難しさがあるという学びが得られ、まだまだやれることもたくさんありそうだと思いました」（土佐CIO）

　セキュリティ機器が発するアラートがあまりに多すぎ、どれは無視してもよくて、どれをエスカレーションすべきかの判断には、一定の知見が必要となる。同じように、今回の障害訓練では、ある部署から別の部署、あるいは経営層へのエスカレーションをどのように行うかの取捨選択に迷う場面があったという。それも決して面倒だからというわけではなく、相手を不必要に混乱させたくないと、よかれと思っての行動だった。

　「現場には、関係のない事柄までエスカレーションして社内をかき回すことは控えておこう、といった意識があるのも事実です。今回のようなちょっと複雑な事象に対して『これはインシデントの可能性が高い』と確度が高まるところまで自分たちで調査するのはいいことですが、そのプロセスをもっとスピーディーにする手続きを作るべきかなと感じました」（茂岩CISO）