「この投資詐欺、freeeから漏れた情報を悪用してるかも」──そのとき、社員はどう動く 同社のセキュリティ訓練が再び(1/4 ページ)
freeeのセキュリティ訓練が今年も実施に。今回のシナリオと、得られた学びは……。
闇バイトや投資詐欺の脅威が頻繁に取り沙汰される昨今。サイバー攻撃や内部不正、不手際によって自社から情報が漏れるのも怖いが、一連の犯罪に悪用される事態はさらに恐ろしい。「弊社をかたる詐欺を確認したのだが、御社から漏れた情報を使っているんじゃないか?」──いま、企業が一番聞きたくない言葉の一つだだろう。
一方で、これに近い事態を想定したセキュリティ訓練を社内で実施し、万一に備える企業もある。クラウド型会計・人事サービスを提供するフリー(freee)だ。過去にも報じてきた通り、freeeでは2018年10月に発生した大規模障害を風化させないため、毎年10月に全社的な障害訓練を実施してきた。
参考記事:「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
過去には「ランサムウェア感染」「脆弱性を突かれての情報漏えい事故」を模した訓練も行われたが、24年は漏えいした情報が悪用された可能性が同時多発的に浮上したとき、社内で適切に連携できるかどうかがテーマになった。
「投資詐欺を確認」複数件、結び付けられるか? 訓練の全体像
freeeは過去の訓練でも、顧客の苦情を受け付けたコールセンターや、報道陣から問い合わせを受けた広報室など、複数の部署を巻き込んだシナリオでの訓練を実施してきた。今回はさらに深掘りし、インシデント対応やシステム開発・運用の部署ではなく、ビジネス組織を起点とした連携をテーマにしてシナリオを作成したという。
大まかな流れはこうだ。ある日、コールセンターに顧客A氏から「税理士の名前をかたった投資詐欺に遭ってしまいました。freeeさんにもちょっと調査を手伝ってもらえませんか?」と連絡が入った。
それとほぼ時を同じくして、別の窓口にはB税理士法人から問い合わせが入った。「自分の会社の情報を用いて、偽の投資話を持ちかけるディープフェイクの動画が作られている。どういうことだろう」
全く無関係に見える2つの問い合わせだが、実は同じ原因に端を発していた。ずさんな管理がされていた個人情報を、業務委託をしていた人物が持ち出し、漏えいしてしまったのだ。しかもその情報は詐欺グループの手に渡ってしまい、税理士をかたって詐欺を持ちかけるディープフェイクが作られ、被害者が出てしまった──という構図だ。
別々の窓口に寄せられた情報が統合され、適切にエスカレーションできるか、さらにセキュリティチームや法務、広報といったステークホルダーが加わって普段通りのセキュリティオペレーションにつなげられるかが、ストーリーのポイントだった。
「通常のサイバー攻撃を受けた際にどうするかを問う訓練は多くありますが、IPA(情報処理推進機構)の10大脅威を見ると、内部不正は上位にランクされています。世の中の動向を見ても大規模なインシデントがちょくちょく発生しているため、内部不正にも目を向け、そういった自体を想定した訓練も実施しておいた方がいいのではないか、という考えが出発点にあります」──“仕掛け人”の一人である茂岩祐樹常務執行役員CISOはこう話す。
同じく仕掛け人の一人である土佐鉄平CIOは「組織が大きくなるにつれ、内部統制を浸透させる難易度は上がっていきます。また、一見するとそこまで重大な情報が漏れたようには思えなくても、意外や意外、大きな話に広がって返ってくるケースをよく見聞きします。ささいに思えることでも油断ならないというメッセージも出したいと思いました」と狙いを振り返る。
ちなみに、今回は漫画を使ったカウントダウン形式で訓練を予告したという。通常業務に追われる中での訓練となると、本音では「やりたくないな、仕事の方を進めたいな」と感じても無理はない。そこで、なるべく当事者意識、危機意識を高めて全社で取り組めるよう、オリジナルキャラクター「ルカワくん」が、訓練のヒントとなる“ヒヤリハット”を繰り広げる連載漫画を社内Slackで展開し、訓練に向けた雰囲気を盛り上げたという。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ殺到──したらどうする? freeeが再び全社訓練
「自社のDB破壊しCEOに身代金要求」──2021年にこんな障害訓練を実践したfreeeが、今年も新たな訓練を実施。今回のシナリオは? - 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。 - “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題 佐々木CEOに聞く
「自社のDBを破壊し、CEOに身代金を要求する」訓練を実施し話題を集めたfreee。全社を巻き込んだ訓練で、経営層は当時どんな教訓を得たのか。同社の佐々木大輔CEOに聞く。 - ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。