ヤフー株式会社 リスクマネジメント室 高 元伸氏

 

「リスク管理のない経営は、目をつぶって高速道路を運転するようなもの」

これは弊社の社外取締役監査等委員から言われている言葉だ。スピード経営が求められているが、スピードを出すだけで事故を起こしてしまっては全く意味がない。スピードを出すと同時に、正確に曲がる、止まる、ことができるような制御の仕組みを会社の機能として持たなくてはいけない。それがリスク管理のあり方だ。しかし、どんな大きな組織でも、あらゆるリスクに対処できるわけではない。企業の規模や業種によってリスクのタイプは異なるし、対策の打ちようがないリスクも存在する。リスクの内容に対して限られた経営リソースをどれだけ配分するかという経営の視点が重要になる。

弊社では、リスクマネジメント委員会を通じてトップインタビューを行い、経営者とリスクマネジメントの方針を確認している。その上で、各部門でリスクの洗い出しを行い、対応計画を立て、その実行性を訓練などで評価し、改善するというサイクルを回している。

リスクの洗い出しについては、各部門でリスクアセスメントシートとリスク対応計画書を作り、いつまでにリスク低減の度合いをどの程度のレベルにするのか目標を立て、実施する。その過程と結果をリスク管理部門がチェックを行なう。発生確率が高く、発生したら影響が大きいリスクは「経営課題」「部門課題」に落とし込み、どの程度まで改善できたか各部門より定期的に進捗を報告してもらっている。

発生の可能性は低いが影響が大きく、部門単独では対処しにくいリスクについては、全社でも管理している。リスクをゼロにすることへ固執せず、ダメージコントロールが基本になる。影響の大きい「大規模システム障害」「広域大規模災害」「情報漏えい・データ破壊」の3つを特に注目し、同様の観点からヤフーグループ全体でも優先的に対応すべき「全社リスク対応方針」を「もれる・きえる・とまる」(情報流出・情報消失・サービス停止)と定めている。

発生の可能性が低く影響が大きいリスク

「広域大規模災害」発生時、弊社は社会基盤の1つとしてユーザーに対して情報を提供し続けることが求められる。企業の存続と利益を守ることは当然大切だが、それ以上にヤフーの存在価値を守ることが、最終的に我々が生き残るために不可欠だと考えている。

そのためにはまず、「広域大規模災害」に何が起きるかを想定した対応を考える。

例えば、内閣府が発表している南海トラフの最悪のシナリオを参考に、弊社の全国に点在する複数の拠点をプロットすると、主要な拠点の大部分が影響を受け、特に東海エリアはほぼ壊滅に近い状態になることが予想される。また、災害発生時には、平時と比較してニーズは極端に変化する、つまり特定サービスでの負荷が高くなる中で、稼働率の低下を最小限に抑えつつ、必要なサービスへリソースを集中させるという必要がある。

「システム障害」の場合なら、信頼を失墜させないためにも早期に完全復旧させることが求められるが、「広域大規模災害」の場合は、全てを復旧するようなことは最初から考えていない。平時とは異なり、必要な機能だけを維持すればいい。

弊社では、各種サービスを災害時継続の重要度に応じて大きく2つに分類している。1つは、災害被害拡大防止と安全確保支援のための情報提供など、社会基盤を守るためのサービスで、災害時の状況に応じて、必要な機能に限定して維持・継続させる。もう1つは我々の利益の源泉になっているサービスで、自社の事業継続のために必要と設定し維持する。これらはサービス継続よりもデータの保護と早期復旧を重視する。

この2つ以外のサービスは大規模災害を想定した対策を必須としないということにし、サービスを継続させるか止めるか、それに伴う対策にどこまでリソースを振り分けるかは、各サービス部門の責任者の裁量に任せている。一方で実際に被災した拠点では、サービス分類に関わらず、サービス継続ではなく、自分たちの命を守ることを最優先で考えるよう伝えている。

弊社は、東京本社に9割以上の社員が集中しており、データセンターに関しては、何カ所かに分散し、一番大きなセンターは白河と北九州にある。東京で大震災が発生した場合は北九州で主要なサービスを引き継ぐ、としている。しかし、北九州で全サービスを引き受けることは不可能で、常駐する社員数は平常時では必要最小限に割り当てている。したがって必要な機能に集中し、不必要なサービスは意図的に止めることも想定はしている。

最重要サービスとしては、トップページと最低限のニュース配信機能を提供するトピックスを位置付けている。なぜなら、トップページは弊社が機能し続けていることの象徴でもあり、トピックスはトップページから提供できる最低限の情報配信機能となるからだ。

情報漏えい・データ破壊とサイバーセキュリティ

「情報漏えい・データ破壊」については、今回は主にサイバーセキュリティ対策に絞って説明したい。弊社は、3年前に大規模なサイバー攻撃を受けた。2013年4月に攻撃を受けていることを認知し対処したが、その後も断続的に数カ月間連続して攻撃を仕掛けてきたと考えている。大きな被害が出たのは2013年5月。残念ながら149万件の不可逆暗号化した認証データが流出したと判断した。

サイバー攻撃は、起きるまではなかなか自分事にはならない。一方で、自分事として捉えられたことで、さまざまなリスクの本質も見えてきた。

サイバー攻撃に対処する中で、相手に明確な悪意があるということが非常に強く意識させられた。発生した攻撃に対処をしても、前回とは異なる、より改良した攻撃を仕掛けてくる。攻撃手法だけではなく、攻撃のポイントも柔軟に変えてくることもあり、正直なところ全て防御するのはかなり難しい。攻撃者の目的が企業情報ではなくユーザーの認証情報である場合、攻撃の対象が弊社システムだけとは限らないからだ。

典型的な例としてはユーザーログインに対してのリスト型攻撃や、ユーザーへのフィッシングサイトへの誘導、マルウェアの感染を経由した不正ログインなどがある。これらの攻撃は一括大量に奪われるものではないが、企業として直接対処できる範囲を一部超えているところに課題がある。攻撃者は狡こう猾かつで、常に攻撃しやすく防御しにくい手段をとることを予想しなくてはならない。いずれのケースでも対応の考え方は同じで、まず防御を固めて攻撃を防止し、早期に検知し、対応し、穴をふさいでいく。さらに多層で防御するということが重要で、例えば1つのセキュリティが破られたらアラートを上げるという仕組みを多重で備えておく。防ぐだけが目的ではなく、早期警戒と攻撃の足跡を手がかりに次の攻撃に備える。

3年前にサイバー攻撃を最初に検知したのは、セキュリティアラートではなく、システム負荷であった。セキュリティ担当者だけでなく、運用担当者を含めて、正常ではない動作に対する意識を持つ必要がある。異常の兆候に対し迅速にエスカレーションして、正しい判断のできる人間に伝えるという流れを訓練しておかなくてはならない。また、自社のデータやシステムの配置、権限の所在を棚卸しして整理しておくことも重要になる。

負荷上昇のアラートへの反応だけではなく、その原因となった稼働中プロセスの異常性に反応したのは正常な権限による正常な業務手順を理解していればこそであった。守りの構成をあらかじめ熟知しておくことは、攻撃を受けた場合でも迅速な対応のため必要となる。

現場では、人間の判断が鍵になることも多い。3年前のケースも、運用担当者がシステム負荷を見つけて異常だと判断し、すぐ止められたのは、ソリューションの力だけではなく、運用担当者の感度が高かったことに加えて、即座に行動に移せるエスカレーションの仕組みがあったからだ。

もう1つ考えておく必要があるのがダメージコントロールである。情報は盗まれたらそれで終わりではなく、ユーザーに影響が出る前に、いかに迅速に対処するかが、最終的な被害の軽減につながる。

例えば、対象となったパスワードにはリセットをかけて、流出した情報を無効化し、ユーザーに適切な情報を与えて注意喚起と対処依頼を行なう。これを迅速に行えれば敵の最終的な目的の1つである「ユーザーアカウントへの不正ログイン」を防ぐことができる。このためダメージコントロールに関してはセキュリティ担当者だけが行うのではなく、他のサービス事業部や営業、広報などとの連携も重要になってくる。

統一した連携体制を整えることは容易ではないが、まずは全従業員に対して自分事と認識して考えてもらい、なおかつ「何のために」という目的と共通の目標を決め、トップダウンで意識を高めるということが非常に重要になる。

全従業員に対しての徹底することはなかなか難しい。弊社もようやく、自分たちが狙われているということを全従業員が認識するようになってきたが、十分理解できているとは言い切れず、引き続きの課題だと考えている。

現在では、実際に端末がマルウェア感染した場合の検知から端末隔離までを分単位で実施することを想定した体制を整え、社内外の視点から定期的な脆弱性監査も実施している。また、全従業員に対して、入社時研修、新任役職者研修、定期研修などを通じた教育のほか、パスワードの定期的変更や、自身の持つ権限の確認、インストールしているソフトウェアの確認、端末の外部持ち出し申請、ラベリングや保管場所に関する文書管理、業務終了後のシャットダウンなど、基本的対応からの徹底を行ない、定期的にセルフチェックと監査を行なうことで、セキュリティ意識の維持継続を図っている。重要なのは、経営も含めて「何のために」ということをしっかり意識することである。

組織全員のセキュリティ意識アップ

サイバーセキュリティも含め、リスク管理は、ある特定の部門だけで対処できるものではなく、全従業員が一定レベルの知識と能力を持つ必要がある。もちろん、個々人の能力も様々で、専門分野もバラバラなので全員が全員、同等の機能を持つということは不可能だ。しかし、少なくとも、意識だけは全員が持って、何割かの従業員には率先してリーダーシップをとってもらえるようなヒトデ型の組織を目指したい。

そして、繰り返しになるが最も重要なのはトップの判断だ。災害の時は経営者自身が被災する可能性もあるので、それを引き継いで意思決定ができる人に権限移譲することを含めて経営者自身がリスクを正しく認識しているかが問題になる。こういった観点で経営に対しての教育や啓蒙もある程度、プログラムとして組む必要があると思う。

弊社では、2年前には災害を想定した大規模な訓練も開催した。不慣れなため課題も多いことを覚悟の上で総合訓練を実施したが、予想通り見事に失敗した。ただし、この訓練により、初めてできていないことが明確になりリスト化できた。例えば訓練の準備段階では、非常用電源が業務継続を考慮するとオフィスエリアに十分に設置されていないことがわかり、災害対策本部が設置されるエリアと、サーバが置いてある部屋には緊急で工事を実施した。2回目の訓練はやり方を変え、リスト化した課題の解決と、もう少し基本的なことを確認する方法をとった。最終的には大規模な総合訓練を目指すが、今年は本社移転もあり、避難訓練など災害訓練も内容によっては1からやり直さなくてはいけない。このように訓練を積み重ねることによって、1つ1つの訓練の目的・目標の設定の仕方もわかってきた。

リスク管理の目的は

我々のリスク管理の目的は、最終的には「生き残る」こと。最後は企業として生き残り、株主に対する責任とユーザーに対しての信頼を残す。リスクによる痛みはある程度は許容することもあえて辞さない。企業としての危機が発生したその時点で、企業として生き残るために被害をなるべく抑え、企業として継続する力を残すことが求められる。そのためにあらかじめ可能な限りの事態を予測し、準備し、訓練を繰り返し、経営を含めた評価を行なう。リスク管理に終りはなく、常に進化し続けるものと考える。

[2016年4月8日に開催したIT-BCPセミナー講演より]