“自社DB破壊＆身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く（1/3 ページ）

[高橋睦美，ITmedia]

　「『この訓練をされたら嫌だな、やられたくないな』と思っていたものが来た」──クラウド会計ソフトを提供するfreeeの佐々木大輔CEOは、同社が2021年10月に実施したクラウド障害訓練をこう振り返る。訓練では、社内チームがわざとAWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求。経営層を含め、全社で解決に向け対応した。

　結局は数時間で解決できたものの、いくつか反省点もあったと佐々木CEO。全社を巻き込む訓練を通じ、freeeの経営層はどんな教訓を得られたのか。

特集：DXでリスク増大　経営層が知っておきたい情報セキュリティの課題と対策

デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解とリーダーシップだ。この特集では、経営者向けの解説や最新事例、ソリューションをお届けする。

マルウェア、脅迫、成り済ましも駆使　訓練のシナリオを振り替える

　まず、freeeが実施した訓練の内容を振り返る。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。最初に開発者が使うツールに含まるライブラリにマルウェアを仕込み、サプライチェーン攻撃を実施。盗んだ情報で2要素認証をかいくぐってfreeeの本番環境を模した試験環境に不正アクセスし、データベースを破壊した後、CEOに脅迫状を送った。

訓練内容の図解

参考：自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏　「従業員はトラウマに」

　社内への予告は日程と「その日に何かが起こる」という告知のみ。訓練当日、本番環境を模した試験環境では、データの破壊を伴う攻撃があったことで大規模な障害が発生。事態を受けた経営陣は、取りあえず関係のありそうな人を集めた極秘ミーティングを実施することで対応した。

佐々木CEOに届いた脅迫状

　しかしミーティングを開いたことで、逆に現場から大規模障害についての情報が届かない時間帯が発生。経営層が「大規模障害」と「脅迫状」という2つの出来事を関連付けられず、混乱の要因になった。

　当時は幸いにも、ミーティングにセキュリティインシデントに対応する社内組織「CSIRT」のメンバーが加わっていたことから、この人物が障害の情報を経営層に伝達。数時間程度での復旧につなげられた。

第一印象は「どうしようか……」

　佐々木CEOによれば、率直な第一印象は「どうしようか……」だったという。佐々木CEOは以前から「この日は空けておいてください」とPSIRTなどの“仕掛け人”側に伝えられており、何かが起こることを予想はしていた。

　しかし、セキュリティの責任者であるCISOもシナリオの立案者、つまり仕掛け人側だったことから、佐々木CEOはCISOにも頼れず自身で何とかせざるを得ない状態だったという。

　「経営メンバーは定期的にセキュリティチームから、最近のセキュリティに関する情報を受け取っていた。そのため世の中で起こっているサイバー攻撃に関するアンテナは高くなっていたが、その中でも『ああ、これの訓練をされたら嫌だな、やられたくないな』と思っていたものが来た」（佐々木CEO）