「うちの情報、freeeから漏れたんじゃないんですか？」 顧客から問い合わせ殺到──したらどうする？ freeeが再び全社訓練（3/3 ページ）

[高橋睦美，ITmedia]

「ユーザー保護を第一に意思統一ができた」　訓練の振り返りは

　全社訓練の時間は3時間。限られた時間で原因の特定と修正まで至るのは難しいが、意思決定の進め方については確認ができたと茂岩CISO。今回はパスワードのリセットを決断し、影響の確認やリカバリー計画の作成といった準備に取り掛かるところで時間切れになったという。

訓練に参加した社員。ハロウィーンが近かったので仮装している人も

　「今回は、原因はよく分からないまでも、どうやら攻撃者はIDとパスワードのペアをたくさん持っており、このままにしておくとどんどん入られてしまうことまでは推測できた。CEOの佐々木もずっと部屋にいたので、ユーザーの保護を考え、これ以上不利益を与えないようにするには“止血”が必要だと判断し、パスワードリセットをするという決断を下せた」（茂岩CISO）

　しかし、もし実際にパスワードリセットを実施するとなると、技術的に設定を変えて終わりでは済まず、やるべきことは多い。ユーザーにどのように案内し、コミュニケーションを取るかはもちろん、再設定方法の案内も必要だ。技術的にはセッション情報の消去や、API経由のアクセスなど別の経路にどう手当てするかなど、検討すべき項目は多岐にわたる。

　今回の訓練のように、週末かつ月末というタイミングでパスワードリセットを行うとなると事態はさらに複雑だ。月曜の朝になって月末の締めの作業をしようとしたユーザーから「入れない」と問い合わせが殺到することも十分考えられるので、コールセンターの立ち上げなども視野に入ってくる。訓練ではそうしたさまざまな事柄を議論していったという。

茂岩祐樹CISO

　細かな手順や案内の文面などは別途、部署ごとにトレーニングしていく必要があると茂岩CISO。とはいえ「今回の訓練を通して、何らかの深刻な事象が発生したとき、とにかくユーザーの保護を第一に考えることが、皆の一致した思いとしてできていたと思う」と茂岩CISOは振り返った。

　一方で茂岩CISOは改めて、それぞれの役割や動き方がどうあるべきかを考えさせられたという。「自分自身、CISOとしての動きを振り返ってみると、いろいろな議論や事象に引きずられて深く入り込みすぎたところがあった。PSIRTを動かして調査や指示をするという本来の業務にもっと入っていくべきだったと感じている」（茂岩CISO）

　完全な分断はよくないが、横の話に入り込み過ぎるのも考えものだ。そのさじ加減や解像度について、最適なバランスをもっと考えていきたいという。「いろいろなイベントがポコポコ起こる中、自分も含め、本部長や現場のリーダー、エンジニア、それぞれが効率的に動けるよう目配せをしていくことが大事だな、という気付きが改めてあった」（茂岩CISO）

新たに加わった社員が自信を持って障害対応に当たれる効果も

多田正さん

　今回も多くの学びを得て、訓練を終えられたというfreee。前回の訓練の評判もあって、内外から「今年はどうなるんですか？」と声をかけられプレッシャーがあったと多田さんは振り返る。しかし、結果的には社内からは「訓練をやって良かった」などと、ポジティブな反応が多く上がったという。特に、新たに加わった社員の心理的なオンボーディングにつながったとしている。

　「freeeは急成長の最中にあり、この1年で新たにジョインしてきた人もたくさんいる。日常的な障害対応には、割と経験のある社員が当たることが多かった。しかし今回の全社訓練に参加したことで、新しく加わってきた人たちが小規模な障害対応にためらいなく参加できる空気ができたように思う。『障害対応に入る勇気が持てた』『初めて障害対応に入ったけれど、やるべきことがよくわかった』といったポジティブな反応がたくさんあった」（多田さん）

　やればやるほど学びがあるという障害対応訓練。新たな全社単位の課題をあぶり出すことができ、新たに加わったメンバーにいい経験を提供できたとと感じているという。一方で「社員がどんどん増えていく中、年に1回の全社訓練では拾いきれないことがたくさん上がった」と多田さん。今後は、成長を続ける会社の規模に見合った、組織単位の小規模な訓練も並行して充実させていきたいとしている。