“自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く(2/3 ページ)
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。
頭では分かっていたが……現状把握の難しさを痛感
実際の対応で改めて痛感したのは、現状把握の難しさだったという。「われわれの事業のベースは、ユーザーのデータを預かっていることにある。それをどう守るかという観点でも現状把握が第一だった」と佐々木CEO。一方で、実際にはうまくいかないこともあったという。
脅迫状を受け取った佐々木CEOは、ランサムウェアによる脅迫というインシデントの性質を踏まえ、経営レベルでの極秘ミーティングで対策方針を固めていった。これは事前に定めた手順に沿った対応だった。
「freeeはなるべく情報を共有していくカルチャーだが、場合によっていたずらに混乱を招いたり、外部の人に迷惑を掛けたりする可能性もある。現場レベルはもちろん、経営レベルでも、緊急度・危険度やインシデントの性質に応じて、共有範囲も含めて対応を考えていくフローがある」(佐々木CEO)
一方で、緊急時に情報を提供するはずのCISOがいなかったこともあり、ミーティング内では現状をどう認識していくかに悩んだという。
リモートワークが裏目に 佐々木CEOが感じた課題点
佐々木CEOが現状把握に当たって感じた具体的な課題は3つ。一つは、リモートワークと出社が混じった働き方の中でのコミュニケーションだ。
freeeは2020年からリモートワークを基本としており、その後出社も認めるハイブリッドワーク形式に移行した。極秘ミーティングのメンバーも、リモートワークの人と出社している人が混在していた。
しかし「社内でリアルに集まっているメンバーとオンラインのメンバーが混じった状態では、コミュニケーションのキャッチボールの速度の差が出た」(佐々木CEO)という。この速度差を考慮しながら判断していく部分にも難しさを感じたとしている。
ただ、その中で自然とファインプレーも生まれた。「このまま議論していても非効率なので、みんな来てくれと電話をして集まり、対処に当たることができた」(佐々木CEO)
もう一つは、収集する情報の粒度だ。現場レベルでは「現場でどのようなことが起きているか」「どの範囲が影響を受けているか」といった事柄が重要になる。一方経営レベルになると、それがトラブル全体において何を意味するのかという俯瞰した判断が重要になってくる。しかし、当時はこの切り分けがあまりできていなかったという。
「細かなところにまで首を突っ込んでしまうと、経営層が全体感を失ってしまう恐れもある。全体感に対する検討と、細かいレベルでの議論や分析をもっと切り分けて考えられればよかった」(佐々木CEO)
最後は対応が現状認識に終始してしまった点だ。「初めて経験するケースだったこともあり、限られた時間の中では対処方針を立てる以前の部分、つまり現状認識だけに終始せざるを得なかった」(佐々木CEO)
いずれも言葉にすると当たり前のことだが、うまく実践できるかとなるとまた別だ。訓練を通して当たり前のことができない体験をすることで「『あ、こういうときにこれをやっちゃいけないんだよな』といった感覚を持つことが重要なのかなと思う」と佐々木CEOは振り返る。
関連記事
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。SaaS企業が恐れる「解約率」との正しい向き合い方 継続率99%を超えるSmartHRに聞く
月次の解約率を継続して1%未満に抑えるSmartHR。サービス開始時点では2〜3%程度だったにもかかわらず、数値を抑えられた理由とは。CEOに戦略を聞く。80個のWebサイトをAWS移行 創業100年超、森永乳業が進める“4つのセキュリティ対策”
約80のWebサイトをAWSに移行する森永乳業。その中で取り組んできたセキュリティの問題にはどのように取り組んでいるのか。相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー 見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。クラウドからの情報漏えい、責任は誰に? SaaSやPaaSの大前提「責任共有モデル」とは 総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.