「備える心」が大事――カカクコムのインシデントから得られた教訓

7月26日にセコムトラストネットが開催したセミナーにおいて、デジタルガレージ取締役CTOにしてカカクコム取締役も兼ねる遠藤玄声氏が、リスクマネジメントの観点から得られた教訓を紹介した。

[高橋睦美，ITmedia]

　「すべての事態を予防することは無理だが、事前にいろいろな筋道を立てて『こんなときはこうしたほうがいい』と考えておくことは間違いなく役に立つ」――7月26日にセコムトラストネットが開催した「サイト攻撃　緊急対策セミナー」の中で、デジタルガレージ取締役CTOの遠藤玄声氏はこのように述べた。

　遠藤氏は、先日不正アクセスを受けたカカクコムの取締役も務めている。kakaku.comのWebサイトは不正アクセスを受け、トロイの木馬をばら撒くように改ざんされたが、実際には単一の犯人ではなく、入れ替わり立ち代わり異なる犯人による小規模のハッキングを受けてきたことが明らかになってきた。

　明るみになった改ざんへの対処と回復作業、ユーザーおよびマスコミへの対応といった一連の対処を行ったいま、リスクマネジメントの観点からいくつかの教訓があると遠藤氏。まず、さまざまなストーリーを予測して自分なりにシミュレーションを行うこと。そして当たり前ではあるが、自分の会社で起こりうるリスクの種類を網羅することが重要だという。

　ただ、起こりうることを完璧に予測する必要はない。米国のある企業で、2000年問題に備えたシミュレーションが9.11連続テロの際に役立ったことがあるのと同じように、あらかじめ何らかの筋道を考えておけば、何も心の準備をしていない場合に比べはるかに役立つという。

　遠藤氏はまた、「自社」にとってのリスクを洗い出した上で、「『予防』と『予兆を察知するための監視』『回復策』の3つの対策をバランスよく取る」べきとした。この際「『今すぐやらなくてはならないこと』と『時間をかけてもしっかりやるべきこと』を分けて、一覧表にして考えると分かりやすいし、意思決定もしやすい」という。

　ここで難しいのが、インシデントの発生によって生じる「副作用リスク」への対処だ。平常時と異なりパニック時には何かと混乱が起こるものだし、その混乱も関わる人が多ければ多いほど大きくなる。副作用リスクを事前に読みきるのは難しいことだが、「その混乱をどうマネージするかを考えておく価値はものすごくある」（遠藤氏）。

　カカクコムの場合、こうした副作用リスクの中で一番心を痛めたのが、技術系メディアによる「詳細を公開しないのはけしからん」という論調だったという。

　「公開することによるメリットもあるが、公表した場合のリスクが読めないことから言わないようにしていたが……」（遠藤氏）、結果として社員への心理的なダメージは相当大きかったという。原因や詳細の公表に関して同氏は「何らかの社会的なコンセンサスがあればよかったかもしれない」とも述べた。

　「何らかの予習やシミュレーションを行っておけば、絶対効果はある。『備える心』事態が防衛になるし、何かを起こりにくくすることに役立つ」（遠藤氏）。