負荷上昇のアラートへの反応だけではなく、その原因となった稼働中プロセスの異常性に反応したのは正常な権限による正常な業務手順を理解していればこそであった。守りの構成をあらかじめ熟知しておくことは、攻撃を受けた場合でも迅速な対応のため必要となる。

現場では、人間の判断が鍵になることも多い。3年前のケースも、運用担当者がシステム負荷を見つけて異常だと判断し、すぐ止められたのは、ソリューションの力だけではなく、運用担当者の感度が高かったことに加えて、即座に行動に移せるエスカレーションの仕組みがあったからだ。

もう1つ考えておく必要があるのがダメージコントロールである。情報は盗まれたらそれで終わりではなく、ユーザーに影響が出る前に、いかに迅速に対処するかが、最終的な被害の軽減につながる。

例えば、対象となったパスワードにはリセットをかけて、流出した情報を無効化し、ユーザーに適切な情報を与えて注意喚起と対処依頼を行なう。これを迅速に行えれば敵の最終的な目的の1つである「ユーザーアカウントへの不正ログイン」を防ぐことができる。このためダメージコントロールに関してはセキュリティ担当者だけが行うのではなく、他のサービス事業部や営業、広報などとの連携も重要になってくる。

統一した連携体制を整えることは容易ではないが、まずは全従業員に対して自分事と認識して考えてもらい、なおかつ「何のために」という目的と共通の目標を決め、トップダウンで意識を高めるということが非常に重要になる。

全従業員に対しての徹底することはなかなか難しい。弊社もようやく、自分たちが狙われているということを全従業員が認識するようになってきたが、十分理解できているとは言い切れず、引き続きの課題だと考えている。

現在では、実際に端末がマルウェア感染した場合の検知から端末隔離までを分単位で実施することを想定した体制を整え、社内外の視点から定期的な脆弱性監査も実施している。また、全従業員に対して、入社時研修、新任役職者研修、定期研修などを通じた教育のほか、パスワードの定期的変更や、自身の持つ権限の確認、インストールしているソフトウェアの確認、端末の外部持ち出し申請、ラベリングや保管場所に関する文書管理、業務終了後のシャットダウンなど、基本的対応からの徹底を行ない、定期的にセルフチェックと監査を行なうことで、セキュリティ意識の維持継続を図っている。重要なのは、経営も含めて「何のために」ということをしっかり意識することである。

組織全員のセキュリティ意識アップ

サイバーセキュリティも含め、リスク管理は、ある特定の部門だけで対処できるものではなく、全従業員が一定レベルの知識と能力を持つ必要がある。もちろん、個々人の能力も様々で、専門分野もバラバラなので全員が全員、同等の機能を持つということは不可能だ。しかし、少なくとも、意識だけは全員が持って、何割かの従業員には率先してリーダーシップをとってもらえるようなヒトデ型の組織を目指したい。

そして、繰り返しになるが最も重要なのはトップの判断だ。災害の時は経営者自身が被災する可能性もあるので、それを引き継いで意思決定ができる人に権限移譲することを含めて経営者自身がリスクを正しく認識しているかが問題になる。こういった観点で経営に対しての教育や啓蒙もある程度、プログラムとして組む必要があると思う。

弊社では、2年前には災害を想定した大規模な訓練も開催した。不慣れなため課題も多いことを覚悟の上で総合訓練を実施したが、予想通り見事に失敗した。ただし、この訓練により、初めてできていないことが明確になりリスト化できた。例えば訓練の準備段階では、非常用電源が業務継続を考慮するとオフィスエリアに十分に設置されていないことがわかり、災害対策本部が設置されるエリアと、サーバが置いてある部屋には緊急で工事を実施した。2回目の訓練はやり方を変え、リスト化した課題の解決と、もう少し基本的なことを確認する方法をとった。最終的には大規模な総合訓練を目指すが、今年は本社移転もあり、避難訓練など災害訓練も内容によっては1からやり直さなくてはいけない。このように訓練を積み重ねることによって、1つ1つの訓練の目的・目標の設定の仕方もわかってきた。

リスク管理の目的は

我々のリスク管理の目的は、最終的には「生き残る」こと。最後は企業として生き残り、株主に対する責任とユーザーに対しての信頼を残す。リスクによる痛みはある程度は許容することもあえて辞さない。企業としての危機が発生したその時点で、企業として生き残るために被害をなるべく抑え、企業として継続する力を残すことが求められる。そのためにあらかじめ可能な限りの事態を予測し、準備し、訓練を繰り返し、経営を含めた評価を行なう。リスク管理に終りはなく、常に進化し続けるものと考える。

[2016年4月8日に開催したIT-BCPセミナー講演より]