発生の可能性が低く影響が大きいリスク

「広域大規模災害」発生時、弊社は社会基盤の1つとしてユーザーに対して情報を提供し続けることが求められる。企業の存続と利益を守ることは当然大切だが、それ以上にヤフーの存在価値を守ることが、最終的に我々が生き残るために不可欠だと考えている。

そのためにはまず、「広域大規模災害」に何が起きるかを想定した対応を考える。

例えば、内閣府が発表している南海トラフの最悪のシナリオを参考に、弊社の全国に点在する複数の拠点をプロットすると、主要な拠点の大部分が影響を受け、特に東海エリアはほぼ壊滅に近い状態になることが予想される。また、災害発生時には、平時と比較してニーズは極端に変化する、つまり特定サービスでの負荷が高くなる中で、稼働率の低下を最小限に抑えつつ、必要なサービスへリソースを集中させるという必要がある。

「システム障害」の場合なら、信頼を失墜させないためにも早期に完全復旧させることが求められるが、「広域大規模災害」の場合は、全てを復旧するようなことは最初から考えていない。平時とは異なり、必要な機能だけを維持すればいい。

弊社では、各種サービスを災害時継続の重要度に応じて大きく2つに分類している。1つは、災害被害拡大防止と安全確保支援のための情報提供など、社会基盤を守るためのサービスで、災害時の状況に応じて、必要な機能に限定して維持・継続させる。もう1つは我々の利益の源泉になっているサービスで、自社の事業継続のために必要と設定し維持する。これらはサービス継続よりもデータの保護と早期復旧を重視する。

この2つ以外のサービスは大規模災害を想定した対策を必須としないということにし、サービスを継続させるか止めるか、それに伴う対策にどこまでリソースを振り分けるかは、各サービス部門の責任者の裁量に任せている。一方で実際に被災した拠点では、サービス分類に関わらず、サービス継続ではなく、自分たちの命を守ることを最優先で考えるよう伝えている。

弊社は、東京本社に9割以上の社員が集中しており、データセンターに関しては、何カ所かに分散し、一番大きなセンターは白河と北九州にある。東京で大震災が発生した場合は北九州で主要なサービスを引き継ぐ、としている。しかし、北九州で全サービスを引き受けることは不可能で、常駐する社員数は平常時では必要最小限に割り当てている。したがって必要な機能に集中し、不必要なサービスは意図的に止めることも想定はしている。

最重要サービスとしては、トップページと最低限のニュース配信機能を提供するトピックスを位置付けている。なぜなら、トップページは弊社が機能し続けていることの象徴でもあり、トピックスはトップページから提供できる最低限の情報配信機能となるからだ。

情報漏えい・データ破壊とサイバーセキュリティ

「情報漏えい・データ破壊」については、今回は主にサイバーセキュリティ対策に絞って説明したい。弊社は、3年前に大規模なサイバー攻撃を受けた。2013年4月に攻撃を受けていることを認知し対処したが、その後も断続的に数カ月間連続して攻撃を仕掛けてきたと考えている。大きな被害が出たのは2013年5月。残念ながら149万件の不可逆暗号化した認証データが流出したと判断した。

サイバー攻撃は、起きるまではなかなか自分事にはならない。一方で、自分事として捉えられたことで、さまざまなリスクの本質も見えてきた。

サイバー攻撃に対処する中で、相手に明確な悪意があるということが非常に強く意識させられた。発生した攻撃に対処をしても、前回とは異なる、より改良した攻撃を仕掛けてくる。攻撃手法だけではなく、攻撃のポイントも柔軟に変えてくることもあり、正直なところ全て防御するのはかなり難しい。攻撃者の目的が企業情報ではなくユーザーの認証情報である場合、攻撃の対象が弊社システムだけとは限らないからだ。

典型的な例としてはユーザーログインに対してのリスト型攻撃や、ユーザーへのフィッシングサイトへの誘導、マルウェアの感染を経由した不正ログインなどがある。これらの攻撃は一括大量に奪われるものではないが、企業として直接対処できる範囲を一部超えているところに課題がある。攻撃者は狡こう猾かつで、常に攻撃しやすく防御しにくい手段をとることを予想しなくてはならない。いずれのケースでも対応の考え方は同じで、まず防御を固めて攻撃を防止し、早期に検知し、対応し、穴をふさいでいく。さらに多層で防御するということが重要で、例えば1つのセキュリティが破られたらアラートを上げるという仕組みを多重で備えておく。防ぐだけが目的ではなく、早期警戒と攻撃の足跡を手がかりに次の攻撃に備える。

3年前にサイバー攻撃を最初に検知したのは、セキュリティアラートではなく、システム負荷であった。セキュリティ担当者だけでなく、運用担当者を含めて、正常ではない動作に対する意識を持つ必要がある。異常の兆候に対し迅速にエスカレーションして、正しい判断のできる人間に伝えるという流れを訓練しておかなくてはならない。また、自社のデータやシステムの配置、権限の所在を棚卸しして整理しておくことも重要になる。