「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び

●どこまで共有すべきか・しないべきか　エスカレーションの難しさ

　現場の声から得られた学びもあった。情報を迅速に共有するのは大事だが、一方で何でもかんでも連携し、エスカレーションすればいいというものではない。

　今回、訓練を仕掛けられる側に立った広報担当の品田真季さんは「センシティブな情報でもあるため、キャッチした情報について、今いるメンバーだけで検討した方がいいのか、もっと他のメンバーも巻き込んだ方がいいのかは悩みました。多くの人に伝えることで逆に漏えいしてしまい、二次災害にならないかという懸念もあり、どこまで共有するのかについて考えさせられました」という。

　同様の意見はSlack上でも寄せられた。インシデントの種類によっては、情報の公開範囲を必要以上に広げないよう注意を払うべきだという声があったという。

　これを踏まえて茂岩CISOは「適切な範囲はどこかという問いに一つの正解はないと思います。ただ、常にそれを意識し、考えて行動することが大事なのだと思います」とした。

　エスカレーション範囲の判断材料となる事実確認や調査についても、検討の余地があった。「情報が漏えいしたのではないか」という問い合わせを受けてまず必要になるのは「本当にうちから漏れたのか」の確認だが、これが難しい。他社の事例では、漏えいに関する問い合わせを受けて一度は調査したものの漏えいの事実をうまくチェックできず、より大規模な被害につながったインシデントもある。

　「その一回の問い合わせを、会社としてきちんと捉え、しっかり調査に結び付けるのは大事なことです。しかし、来るものを何でもかんでも調査していては工数がいくらあっても足りません。結論として、事実関係をスピーディーに調査できるようなインフラを整えておけば、対応しやすくなるのだろうと思います」（茂岩CISO）

　一方で、あらためて評価につながるポイントもあった。

　情報漏えいなどのインシデントが発生してしまった場合に、監督官庁などへの報告や顧客への説明が求められる。今回の訓練では「情報漏えいの可能性がある」と判断される一歩手前の段階で、早くも外部への報告などを担当する部署のメンバーが「自分の出番だ」と自ら判断して積極的に参加してくれたという。「連携の初動の部分については課題がありますが、ひとたび連携され、社内に展開されると手続きが回り始めることは確認できました」（茂岩CISO）

　こうして、毎回少しずつ新たな視点、新たな基軸を盛り込みながら行われてきたfreeeの障害訓練。前回は巻き込まれる立場で参加し、今回初めて仕掛人側に回った茂岩CISOは、シナリオの練り込み方などに反省すべき点はあるとしつつ、「次はどう改善するか、来年に向けて日々考えていこうと思います」と、早速次なる取り組みを検討し始めているという。