自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」(2/3 ページ)
「開発チームのセキュリティ意識向上」などの成果も
訓練の成果は他にもあった。経営層だけでなく、社員一人一人の意識が高まった結果、セキュリティ体制を改善する取り組みが活発になったことだ。
例えば開発チームは、標的が使っているソフトウェアなどを狙う「サプライチェーン攻撃」がトラブルの発端になったことを踏まえ、使っているライブラリの脆弱性を再確認した。対応に向けた計画も動き始めたという。
「開発チームはどうしても新規開発や機能追加に力を割きたいものだが、それでもここをおろそかにすると甚大な被害が生じる。訓練以降、問題にちゃんと対応しようという機運が維持できている」
多田さんは今回の訓練を機に、開発プロセスにおけるセキュリティ対策意識があらためて高まったことも感じている。
PSIRTは普段、新機能の設計文書のレビューや、開発チームからのセキュリティに関する相談を受け付けるといった業務を担当している。これまでも相談自体はあったが、訓練後はその件数が増えた他、Slack上で「この段階でちゃんとPSIRTにチェックしてもらおう」といった発言が頻繁にみられるようになったという。
今回の訓練は、freeeの従業員に大きなトラウマを残した。中には、社内ツールの利用状況を尋ねるアンケートが送られてきても「疑心暗鬼になってしまっているので、答えていいものか悩んでいる」とSlackに書き込む社員もいたほどという。
「インターネットにアクセスしたら『あなたのPCは危険です、セキュリティチェックをしましょう』といった広告が流れてきて、うっかりクリックしてしまう事故はよくある。そんなとき、自分が何かアクションを起こす前に『これが何らかのインシデントにつながるのではないか』と一歩立ち止まって考える癖が社内で強まったように思う」(多田さん)
過去に起きた大規模障害が訓練の背景に
freeeがここまで大規模な訓練を実施した背景には、大きく分けて二つの理由があるという。一つは過去に発生した大規模障害の再発防止だ。
freeeは18年10月、全サービスが2時間半に渡って停止するという大規模障害を起こした経験がある。この反省を踏まえ、再発防止に努め、記憶を風化させないために、部署単位や全社規模での障害対応訓練を定期的に実施してきたという。
訓練で想定する障害の原因には機器の故障やオペレーションミス、サイバー攻撃が含まれる。例えば20年10月に実施した訓練では、うっかりものの社員「ルカワくん」のケアレスミスによって、複数の重要なプロダクトに影響を与える本番データベースが壊れてしまい、連鎖的に障害が発生する──というシナリオを採用した。
訓練ではシナリオ通りのトラブルを起こし、対応が可能かどうか、当時の対応手順に問題はないかを確認した。多田さんによれば、この訓練は社内で大きな反響があったという。
「土佐CIOが、ルカワくんがどんなヒヤリハットを起こしてきたかを漫画にして、ほぼ毎日連載していた。ルカワくんがやらかしの代名詞になるとともに『こんな小さなことの積み重ねで大きな障害が起こるんだ』という意識が全従業員にすり込まれた」
ただ、全社訓練といいながらもあくまで中心はサービス開発チームであり、ユーザーサポートや経営層も含めた全体の巻き込み感が足りない印象もあったという。
「サービス障害だけが発端だと、開発チームを中心とした小規模な障害訓練になってしまう。みんなの印象に残り、きちんと覚えてもらうようにすることが非常に大事だなと思った」と多田さん。
21年の訓練で、CEOに身代金を請求するなど大掛かりなシナリオを採用したのは、この反省を踏まえたからだ。「全社を巻き込むこと、そして社員一人一人に強く印象づけることを目指した」という。
PSIRTの認知拡大も目的に
もう一つは社内におけるPSRITの認知拡大だ。
freeeではCSIRTを中心に、WAF(Web Application Firewall)などを活用し、インターネット越しにやってくるサイバー攻撃を防ぎつつログを監視している。いわゆる「多層防御」を講じて、前の壁をすり抜けた攻撃を次の壁で食い止めていく形だ。
潜在的なリスクを予見して対策する「予防的統制」に加え、ログを監視して異常を速やかに検知することで、顕在化したリスクに対応する「発見的統制」の両方に取り組むことで、会計や人事に関する顧客の情報を守っているという。
一方、多田さんが所属するPSIRTでは、製品やサービスの安全性を向上するという側面からセキュリティ対策に取り組んでいる。新機能の設計文書をレビューしたり、開発チームからの相談を受け付けたりするのもその一環だ。
しかしPSIRTの施策はCSIRTと違い、サービス開発者に「そもそもPSIRTとはどんな組織で、何をしているのか。相談するとどんないいことがあるのか」を知ってもらわなければ成立しにくい。そこで、今回のような大規模な訓練を行うことで、PSIRTの存在や業務について認知を広げているわけだ。
関連記事
相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。
SaaS企業が恐れる「解約率」との正しい向き合い方 継続率99%を超えるSmartHRに聞く
月次の解約率を継続して1%未満に抑えるSmartHR。サービス開始時点では2〜3%程度だったにもかかわらず、数値を抑えられた理由とは。CEOに戦略を聞く。
クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。
クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
80個のWebサイトをAWS移行 創業100年超、森永乳業が進める“4つのセキュリティ対策”
約80のWebサイトをAWSに移行する森永乳業。その中で取り組んできたセキュリティの問題にはどのように取り組んでいるのか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。