「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練(3/3 ページ)
「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは?
「ユーザー保護を第一に意思統一ができた」 訓練の振り返りは
全社訓練の時間は3時間。限られた時間で原因の特定と修正まで至るのは難しいが、意思決定の進め方については確認ができたと茂岩CISO。今回はパスワードのリセットを決断し、影響の確認やリカバリー計画の作成といった準備に取り掛かるところで時間切れになったという。
「今回は、原因はよく分からないまでも、どうやら攻撃者はIDとパスワードのペアをたくさん持っており、このままにしておくとどんどん入られてしまうことまでは推測できた。CEOの佐々木もずっと部屋にいたので、ユーザーの保護を考え、これ以上不利益を与えないようにするには“止血”が必要だと判断し、パスワードリセットをするという決断を下せた」(茂岩CISO)
しかし、もし実際にパスワードリセットを実施するとなると、技術的に設定を変えて終わりでは済まず、やるべきことは多い。ユーザーにどのように案内し、コミュニケーションを取るかはもちろん、再設定方法の案内も必要だ。技術的にはセッション情報の消去や、API経由のアクセスなど別の経路にどう手当てするかなど、検討すべき項目は多岐にわたる。
今回の訓練のように、週末かつ月末というタイミングでパスワードリセットを行うとなると事態はさらに複雑だ。月曜の朝になって月末の締めの作業をしようとしたユーザーから「入れない」と問い合わせが殺到することも十分考えられるので、コールセンターの立ち上げなども視野に入ってくる。訓練ではそうしたさまざまな事柄を議論していったという。
細かな手順や案内の文面などは別途、部署ごとにトレーニングしていく必要があると茂岩CISO。とはいえ「今回の訓練を通して、何らかの深刻な事象が発生したとき、とにかくユーザーの保護を第一に考えることが、皆の一致した思いとしてできていたと思う」と茂岩CISOは振り返った。
一方で茂岩CISOは改めて、それぞれの役割や動き方がどうあるべきかを考えさせられたという。「自分自身、CISOとしての動きを振り返ってみると、いろいろな議論や事象に引きずられて深く入り込みすぎたところがあった。PSIRTを動かして調査や指示をするという本来の業務にもっと入っていくべきだったと感じている」(茂岩CISO)
完全な分断はよくないが、横の話に入り込み過ぎるのも考えものだ。そのさじ加減や解像度について、最適なバランスをもっと考えていきたいという。「いろいろなイベントがポコポコ起こる中、自分も含め、本部長や現場のリーダー、エンジニア、それぞれが効率的に動けるよう目配せをしていくことが大事だな、という気付きが改めてあった」(茂岩CISO)
新たに加わった社員が自信を持って障害対応に当たれる効果も
今回も多くの学びを得て、訓練を終えられたというfreee。前回の訓練の評判もあって、内外から「今年はどうなるんですか?」と声をかけられプレッシャーがあったと多田さんは振り返る。しかし、結果的には社内からは「訓練をやって良かった」などと、ポジティブな反応が多く上がったという。特に、新たに加わった社員の心理的なオンボーディングにつながったとしている。
「freeeは急成長の最中にあり、この1年で新たにジョインしてきた人もたくさんいる。日常的な障害対応には、割と経験のある社員が当たることが多かった。しかし今回の全社訓練に参加したことで、新しく加わってきた人たちが小規模な障害対応にためらいなく参加できる空気ができたように思う。『障害対応に入る勇気が持てた』『初めて障害対応に入ったけれど、やるべきことがよくわかった』といったポジティブな反応がたくさんあった」(多田さん)
やればやるほど学びがあるという障害対応訓練。新たな全社単位の課題をあぶり出すことができ、新たに加わったメンバーにいい経験を提供できたとと感じているという。一方で「社員がどんどん増えていく中、年に1回の全社訓練では拾いきれないことがたくさん上がった」と多田さん。今後は、成長を続ける会社の規模に見合った、組織単位の小規模な訓練も並行して充実させていきたいとしている。
関連記事
- 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。 - “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。 - 本当にあったIT怖い話 AWSの設定ミスで300万円のコスト超過、1日1回だったはずの処理が1分で160万回に 当事者に聞く反省点
AWSの設定ミスで300万円のコスト超過を起こしたラック。1日1回だったはずの処理が1分に160万回発生していたという。トラブル発生の経緯と反省点を当事者に聞く。 - 背筋も凍るITホラー 気付いたら“野良SaaS”のコストが4倍に 「SaaSのお片付け」真っ最中のマネフォに現状を聞く
IT部門が利用実態を把握していない“野良SaaS”の放置により、あるSaaSのコストが数カ月で4倍に膨らんだマネーフォワード。同社が取り組むSaaS整理プロジェクトの全容をキーパーソンに聞く。 - SaaS企業で働くみんなのデスク環境 経営層からエンジニアまで写真でチェック freee編
SaaS企業で働く人のデスク環境を写真や本人のコメント付きで紹介。経営陣からエンジニア、管理部門まで、さまざまな社員がどんな環境で働いているかをチェックする。今回は、経費精算SaaSなどを提供するfreeeで働く人のデスク周り。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.