自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」(3/3 ページ)
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。
「クラウドネイティブだからできた訓練だった」多田さんの振り返り
部門を問わず、社員に多くの気付きをもたらしたfreeeの障害訓練。一方で、取り組みの中心となった多田さんも、ある気付きを得たという。それは「そもそもクラウドネイティブな環境でなければ、今回の訓練は実施できなかった」というものだ。
「freeeではほとんどの情報がクラウド上にあり、基本的には全てクラウド上で業務が完結している。やろうと思えば全環境をクラウド上に複製し、訓練環境を作ることができる。これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない。逆に言えば、こうした訓練を日常的にやりたいなら、クラウドネイティブにならざるを得ない」
多田さんには他にも、今回の訓練を通して重要性を再認識した考えがあった。クラウド活用を前提としたセキュリティ対策では「従業員の端末や社内の人たちをどう守るかが重要になる」という意識だ。
今回の訓練でも、まず狙われたのは開発チームとチームが使うツールだった。クラウドはインターネット越しにやってくる攻撃をどう防ぐかに焦点が当てられがちだが、外部からの攻撃を防ぐ方法はすでにある程度パターン化していると多田さんは指摘する。むしろ、社内の人や端末をどう守るかに頭を使いたいという。
「例えばfreeeでは、従業員の行動を縛らないようにしている代わりに、端末から情報を吸い上げて、何か起きてもすぐに見つけられる体制を作っている。予防的な統制よりも発見的な統制を取ることで、スピード感を損ねずに端末を守り、インシデントを減らすことを重視している」
多田さんが重視していることはもう一つある。それは、社員が業務中にセキュリティ上の違和感を覚えたとき、どんなにちょっとしたことでも「これはまずいんじゃないか」と周囲に報告できる環境だ。freeeもこの環境作りを進めている最中という。
「インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。仮にルカワくんのような人が一人や二人いたとしてもびくともしない仕組みや取り組みを、会社としてやっていくことが大事」
関連記事
- 相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。 - SaaS企業が恐れる「解約率」との正しい向き合い方 継続率99%を超えるSmartHRに聞く
月次の解約率を継続して1%未満に抑えるSmartHR。サービス開始時点では2〜3%程度だったにもかかわらず、数値を抑えられた理由とは。CEOに戦略を聞く。 - クラウドの設定ミスを防ぐコツは? 100を超えるSaaSを比較した“SaaSおじさん”に聞く
クラウドサービスを導入する企業が増える一方で、設定ミスなどが原因のセキュリティ事故を心配する声も多い。では、どのような対策があるのか。クラウドの導入支援を手掛けるネクストモードの“SaaSおじさん”に説明してもらった。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。 - 80個のWebサイトをAWS移行 創業100年超、森永乳業が進める“4つのセキュリティ対策”
約80のWebサイトをAWSに移行する森永乳業。その中で取り組んできたセキュリティの問題にはどのように取り組んでいるのか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.