ソフトバンク・テクノロジーの情報漏えい、失意に沈む会議室の空気を変えた「一言」：セキュリティリサーチャーからの提案（後編）（1/3 ページ）

「インシデントが発生したら、社会貢献と考えて正しく情報公開を行うべき」と提案するソフトバンク・テクノロジーの辻氏。「MPOWER：Tokyo」で行った講演では、ソフトバンク・テクノロジーで実際に起きたインシデントと、その対応を紹介した。

[宮田健，ITmedia]

　マカフィーのセキュリティカンファレンス「MPOWER：Tokyo」で講演を行ったソフトバンク・テクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏。

　レポート記事の前編では、2017年に流行した「WannaCry」などの例を挙げながら、「セキュリティの基礎を再度確認し、土台をしっかりすること」「個人情報以外も狙われることを知り、インシデントが発生したら、社会貢献と考えて正しく情報公開を行う」という、辻氏の提案を紹介した。

　後編となる本記事では、辻氏が在席するソフトバンク・テクノロジーで、実際に起きたインシデントをもとに「公開」された情報を紹介する。

マカフィーのセキュリティカンファレンス「MPOWER：Tokyo」で講演を行ったソフトバンク・テクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏

証言3：ソフトバンク・テクノロジーが引き起こしたインシデントの裏で

　辻氏が所属するソフトバンク・テクノロジーでも、2017年7月にインシデントが起きた。その内容は、同社が保持するサーバに不正アクセスを許してしまったというものだった。

　「このインシデントは、使っていないアカウントが残っていたことで起こり、多くのお客さまに心配をかけてしまいました。事件を起こしたことは、胸を張って語るようなことではありませんが、せめてその後の対応については、多くの方の参考にしていただきたいと思っています。

　自分も常に、正しい事故対応の姿を追求していたので、対応はしっかりしよう、お客さまに安心してもらおうと思い、組織一丸となって行動しました。今回は、その表に出にくい部分である『人の動き』についてお話しします」（辻氏）

　この事件が明らかになったとき、ソフトバンク・テクノロジー内の広報、顧客担当、システム運用部、経営層が集められた。もちろん、第三者機関の窓口、そしてフォレンジックを担当する人間もいる。そこに招集された辻氏は、普段は全く異なる作業を行っているメンバーの間を取り持つ立場だった。

　関係者が全員集まった場で、辻氏はソフトバンク・テクノロジー代表取締役社長 CEO 阿多親市氏にこう進言したという――「事故を起こした人を責めないでください」。

インシデントへの対応体制図。辻氏は複数の関係部署を取り持つ位置にいた

インシデントは組織の問題、決して「個人のせい」ではない

　「今回の事件を引き起こした人は“たまたま”その人だっただけで、可能性は全員にある。だから、今回の事件は“組織の問題”として考えてほしいのです」（辻氏）。

　会議室を見渡すと、皆一様に首をうなだれている中、特にうなだれているメンバーがいることが分かった。それでもあえて、辻氏はこう言った。「やらかした人、責任者の人、手を挙げてくれませんか？」