部門を問わず、社員に多くの気付きをもたらしたfreeeの障害訓練。一方で、取り組みの中心となった多田さんも、ある気付きを得たという。それは「そもそもクラウドネイティブな環境でなければ、今回の訓練は実施できなかった」というものだ。
「freeeではほとんどの情報がクラウド上にあり、基本的には全てクラウド上で業務が完結している。やろうと思えば全環境をクラウド上に複製し、訓練環境を作ることができる。これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない。逆に言えば、こうした訓練を日常的にやりたいなら、クラウドネイティブにならざるを得ない」
多田さんには他にも、今回の訓練を通して重要性を再認識した考えがあった。クラウド活用を前提としたセキュリティ対策では「従業員の端末や社内の人たちをどう守るかが重要になる」という意識だ。
今回の訓練でも、まず狙われたのは開発チームとチームが使うツールだった。クラウドはインターネット越しにやってくる攻撃をどう防ぐかに焦点が当てられがちだが、外部からの攻撃を防ぐ方法はすでにある程度パターン化していると多田さんは指摘する。むしろ、社内の人や端末をどう守るかに頭を使いたいという。
「例えばfreeeでは、従業員の行動を縛らないようにしている代わりに、端末から情報を吸い上げて、何か起きてもすぐに見つけられる体制を作っている。予防的な統制よりも発見的な統制を取ることで、スピード感を損ねずに端末を守り、インシデントを減らすことを重視している」
多田さんが重視していることはもう一つある。それは、社員が業務中にセキュリティ上の違和感を覚えたとき、どんなにちょっとしたことでも「これはまずいんじゃないか」と周囲に報告できる環境だ。freeeもこの環境作りを進めている最中という。
「インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。仮にルカワくんのような人が一人や二人いたとしてもびくともしない仕組みや取り組みを、会社としてやっていくことが大事」
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR