みなさんの職場で情報流出やウイルス添付された電子メールを開封してしまった、などのセキュリティ事故(セキュリティインシデント)が起きてしまった時は、通常の業務では経験したことがない事態への、迅速で的確な対応が求められます。事故の原因究明や復旧作業はもちろんのこと、社内外との連携、お客様やマスコミへの対応も必要です。
そして、セキュリティ事故の発生を防ぐだけではなく、発生してしまった事故にできるだけ早く気づいて迅速に対応することが重要です。そのため、事故発生時にどのような対応をすべきかを事前に知っておくことで、困難な状況でも素早く冷静に対応できます。
ヤフーでは、グループワークで学びながらセキュリティ事故を乗り切る体験をする「もしもの時のセキュリティ訓練」を定期的に行っています。準備なくインシデント対応をすることの難しさを実感し、事故発生時にどのような対処や連絡をしなければならないのか、事前に準備しておくべきことを学べる内容となっています。
今回は、2020年2月に北九州オフィスで実施した訓練の様子をご紹介します。
セキュリティ訓練のシナリオ
今回の訓練は、4~7人で構成されたチームを架空の会社「ラッコ株式会社」のCSIRT(※)組織に見立て、ディスカッションと情報収集による問題解決を行いました。
※CSIRT:Computer Security Incident Response Team。コンピュータセキュリティインシデントに対応するためのチーム。今回の訓練では、まだチームができたばかりで準備ができていないという設定です。
この訓練はメンバー全員が協力しながら進めるので、事前に自己紹介をしておくとスムーズです。事前にチームリーダーも決めておきましょう。演習がはじまるとつい休憩をとることを忘れてしまうため、適切なタイミングで休憩を設定することが、リーダーの大切な役割です。
きょうは2020年7月24日(金)、東京オリンピックの開会式が行われる日に事件が起きたという想定で行いました。
13時30分:事件発生!
ショッピングサイトを運営している「ラッコ株式会社」でCSIRTの定例ミーティング中、課長から以下の緊急連絡が入りました。
課長:
「営業部のAさんが受信した電子メールの添付ファイルを開いた時、ウイルス対策ソフトは反応しなかったものの、少し違和感を覚えたという相談を受けました」
CSIRTのメンバーとして、この事態にどのように対応すべきでしょうか?
セキュリティ訓練の進め方
1.インシデントの原因究明を行う
今回の訓練時間は約2時間。時間内に、課長から受けた報告が事実なのか、事実ならどんな問題が起きているのかを解明し、具体的な対応を考えシステムの復旧までを行います。
原因究明をするため、訓練では「依頼シート」を利用します。シートには「誰(社長、総務、コールセンター、全社員、技術者、顧客、取引先など)に、何を依頼するのか」を書きます。たとえば、「(技術者に)ログをどのサーバーでこの内容で調査してほしい」など、できるだけ具体的な内容を書くことが大切です。
また、パソコンやウイルスの調査について外部の会社を利用したことで、うまく作業分担ができたチームがありました。実際の事故が発生した際は、自社の社員だけで対応するのではなく、上手に外部の調査会社にも頼ることで、事故対応のスピードを上げることができます。
2.被害の最小化策、被害拡大防止策を実施する
原因がわかってきたタイミングで、上司や社長への報告も必要です。
訓練中「全社員に対して、Aさんが受け取ったあやしいメールが届いていたら開かないよう伝えてほしい。また、あやしいメールが届いたり、メールを開いてしまったらCSIRTチームに教えてほしい」という社内アナウンスの依頼を出していたチームもありました。
14時10分、今度はシステム管理部のBさんから別の報告が届きました。
Bさん:
「昨夜、自宅で大規模掲示板を見ていたところ、自社の機密情報と思われる『顧客の個人情報だ』と称するデータが貼られているのを見ました…」
どうやら、今回起きているのは、あやしいメールの受信だけではないようです…。この事態にもあわせて対応が必要となりました。
3.ビジネスの継続・復旧を行う
「ラッコ株式会社」はショッピングサイトを運用しているため、出店しているストアの担当者やお客様など、必要な人への報告を適切に行うことも大切です。「それらの対応がクレームの減少や事業の継続性に効果的だった」と訓練後に振り返っていたチームがありました。
4.再発防止策を検討する
セキュリティ事故対応と並行して、対応すべき優先順位を確認しながら進められたというチームもありました。あわせて再発防止策も検討したそうです。
長い目で見ると、同じ組織の中でまた同じ事故が起こる可能性があるため、再発防止策をしっかり決めておくことも重要です。
セキュリティ事故を対岸の事故にしない
今回の演習をサポートいただいた株式会社ラックの⼤塚さんから、以下のようなコメントをいただきました。
株式会社ラックの大塚さん:
セキュリティ事故の発生時は「何が起こっているかわからない」というところから対応が始まることもあります。そのため、最初の段階から原因を絞り込むのではなく、たとえば「遠隔操作されているかもしれない」「パスワードも漏洩しているかもしれない」など最悪の事態まで広げて考えてから、それぞれについて「ここは大丈夫だった」と確認しながら対応していくことが大切です。
また、今回の訓練の中で「セキュリティ対策には各社の社風が出る」と感じたやりとりがありました。「もし、あやしいメールを受け取ったAさんが報告してくれなかったらどうなっていただろう。この報告がなかったら、今回の事故が判明しないままだった」と話し合っていたチームがあったのですが、とても大切な気づきだと思います。
セキュリティ対策では、少しでも違和感があったら報告するなど、小さな糸口を見逃さないことがとても大切です。それを「気のせいかもしれない」と流すことなく調べていくことで、いろいろな情報が得られるので、原因究明と早めの対策につながります。
また、世の中で起きている情報セキュリティ事故に、ぜひ日ごろから敏感になってください。
「この事故は、自社でも起こりえることなのだろうか」「もし自社で起こったらどうなるだろうか」などと考えてみること、対岸の火事にしないことがとても大切だと思います。
CISO室 瀬川:
Zホールディングスグループの業容拡大と同時に、セキュリティ事故の発生リスクも増加すると考えています。
そのため、ヤフーでは今後もこの「もしもの時のセキュリティ訓練」をグループ会社も含めた全社員を対象に定期的に実施していきます。この訓練によってセキュリティ事故対応力に必要な知識と体験を得てもらうことで、グループ全体でのレベルアップを目指します。
今後も紀尾井町オフィスでだけでなく、各拠点での開催も検討しています。できるだけ多くの社員に一度は体験してほしいと思っています。
【関連リンク】
- チームワークでサービスを守る! 実践型セキュリティ総合演習「Hardening(ハードニング)」(Yahoo! JAPANコーポレートブログ)
- 「サービスに弱点を作りこまない」ためのセキュアプログラミングとは(Yahoo! JAPANコーポレートブログ)
- ヤフーグループ向けに開催「もしもの時のセキュリティ訓練」(株式会社ラック)