“自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く(1/3 ページ)
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。
「『この訓練をされたら嫌だな、やられたくないな』と思っていたものが来た」──クラウド会計ソフトを提供するfreeeの佐々木大輔CEOは、同社が2021年10月に実施したクラウド障害訓練をこう振り返る。訓練では、社内チームがわざとAWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求。経営層を含め、全社で解決に向け対応した。
結局は数時間で解決できたものの、いくつか反省点もあったと佐々木CEO。全社を巻き込む訓練を通じ、freeeの経営層はどんな教訓を得られたのか。
特集:DXでリスク増大 経営層が知っておきたい情報セキュリティの課題と対策
デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解とリーダーシップだ。この特集では、経営者向けの解説や最新事例、ソリューションをお届けする。
マルウェア、脅迫、成り済ましも駆使 訓練のシナリオを振り替える
まず、freeeが実施した訓練の内容を振り返る。訓練を主導したのは、製品やサービスのセキュリティ向上を目指す社内組織「PSIRT」だ。最初に開発者が使うツールに含まるライブラリにマルウェアを仕込み、サプライチェーン攻撃を実施。盗んだ情報で2要素認証をかいくぐってfreeeの本番環境を模した試験環境に不正アクセスし、データベースを破壊した後、CEOに脅迫状を送った。
参考:自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
社内への予告は日程と「その日に何かが起こる」という告知のみ。訓練当日、本番環境を模した試験環境では、データの破壊を伴う攻撃があったことで大規模な障害が発生。事態を受けた経営陣は、取りあえず関係のありそうな人を集めた極秘ミーティングを実施することで対応した。
しかしミーティングを開いたことで、逆に現場から大規模障害についての情報が届かない時間帯が発生。経営層が「大規模障害」と「脅迫状」という2つの出来事を関連付けられず、混乱の要因になった。
当時は幸いにも、ミーティングにセキュリティインシデントに対応する社内組織「CSIRT」のメンバーが加わっていたことから、この人物が障害の情報を経営層に伝達。数時間程度での復旧につなげられた。
第一印象は「どうしようか……」
佐々木CEOによれば、率直な第一印象は「どうしようか……」だったという。佐々木CEOは以前から「この日は空けておいてください」とPSIRTなどの“仕掛け人”側に伝えられており、何かが起こることを予想はしていた。
しかし、セキュリティの責任者であるCISOもシナリオの立案者、つまり仕掛け人側だったことから、佐々木CEOはCISOにも頼れず自身で何とかせざるを得ない状態だったという。
「経営メンバーは定期的にセキュリティチームから、最近のセキュリティに関する情報を受け取っていた。そのため世の中で起こっているサイバー攻撃に関するアンテナは高くなっていたが、その中でも『ああ、これの訓練をされたら嫌だな、やられたくないな』と思っていたものが来た」(佐々木CEO)
関連記事
- 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。 - SaaS企業が恐れる「解約率」との正しい向き合い方 継続率99%を超えるSmartHRに聞く
月次の解約率を継続して1%未満に抑えるSmartHR。サービス開始時点では2〜3%程度だったにもかかわらず、数値を抑えられた理由とは。CEOに戦略を聞く。 - 80個のWebサイトをAWS移行 創業100年超、森永乳業が進める“4つのセキュリティ対策”
約80のWebサイトをAWSに移行する森永乳業。その中で取り組んできたセキュリティの問題にはどのように取り組んでいるのか。 - 相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。 - クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.