セキュリティは「技術力+α」で決まる――組織間の距離を縮める大切さが分かった:セキュリティ・アディッショナルタイム(20)(1/2 ページ)
Webサイトが攻撃されたとき、いかに被害の広がりを抑え、企業の信用を保つことができるか。大企業では部門間の壁があだとなり、スムーズな対応ができない場合がある。ヤフーの実践演習「Yahoo! JAPAN Hardening 2017」からは、顧客に寄り添う対応がいかに難しいのかが分かったという。インシデント対応のツボとは?
A「MySQL止めてください。乗っ取られている可能性があるし」
B「うーん、ほんとにやられているんですかね。もうちょっと調査してからじゃ駄目ですか?」
A「いや、お客さまに影響あるかもしれないから、なるべく早く!」
B「そうすると売り上げ挽回は厳しいですよね……でもここはカスタマーファーストで行きますか」
万一自社サーバが不正アクセスを受けたと分かった時には、対応はもちろん、サービスの稼働を続けるかどうかを巡って、こんなギリギリのやりとりを交わすことになる可能性があるだろう。2017年10月12〜13日、2日間にわたってヤフーで開催された「Yahoo! JAPAN Hardening 2017」では、会場のそこかしこでこのような緊迫した会話が繰り広げられた。
同時多発的に発生するトラブル、優先順位付けの要はマネジメント
「守る」技術を競い、磨くことを目的とした「Hardening Project」に触発され、実践的な演習形式でスキルを磨くイベントに取り組む人たちが増えている。実際に起こり得るシナリオに基づいて、サービスを守り、継続させるスキルを鍛えるというコンセプトは共通だ。さらに技術面に重きを置いた取り組みあり、優しさ成分多めの入門編あり、といった具合にバリエーションが広がっている。
Yahoo! JAPAN Hardeningもそんな取り組みの1つだ。Webサーバやネットワークといった技術だけでなく、チーム内の情報共有や顧客、報道機関とのコミュニケーションスキルをも試すシナリオになっていることが特色だ。さらにさまざまな部門間の「協力」「協業」に重きを置いている。エンジニアだけでなく、カスタマーサービスや広報、企画担当など、普段は別の部屋で異なる業務に携わっている社員が1つのチームを組み、ともにインシデント対応に取り組む。
2016年10月に第1回を実施し、好評だったことから、第2回となる今回は規模をさらに拡大して実施した。本社だけでなくIDCフロンティアなどグループ企業からも参加者を募り、9人1組で9チーム、延べ81人が参加。さらにインフラを用意して各チームのサーバを攻撃したり、顧客やメディア役として対応を迫ったりする運営チームまで含めると、100人規模の社員が携わる大規模な演習となった。
Yahoo! JAPAN Hardeningでは、2つのECサイトとコーポレートサイトを運用する企業の社員という設定で、各チームが売上高を競う。目的は「お客さま対応や広報と連携した対外対応を行いつつ、安定的なWebサイトの運営を行う」ことだ。競技翌日にはチームごとに「何をしたか」「何が得られたか」をプレゼンテーションするSoftening Dayを実施し、知見を共有する。
初日の競技時間は11〜17時。WordPressやApache Struts 2の脆弱(ぜいじゃく)性を狙った攻撃やランサムウェアなどさまざまなセキュリティインシデントを、運営チーム側が仕掛ける。各チームはサーバを守り、改ざんや漏えいに対応しなければならない。さらにインターネット上の掲示板に自社の評判に関する書き込みがないかなどもチェックしながら、顧客からの問い合わせや情報漏えいを嗅ぎ付けたメディアからの電話取材に適切に応えることも必要なタスクだ。重要な事項があれば、別室に控える「社長」への確認と報告も行う。
当日はHardeningという取り組みに共通の風景が見られた。最初は和気あいあいとした雰囲気なのに、インシデントが増えるに連れて緊張感ある会話が交わされ、殴り書きの付せんが増えていく。時にはホワイトボードを囲んで状況を確認したり、互いにディスプレイを見せ合って顧客向けの告知の文面を推敲(すいこう)したりといった姿も見られた。なお、当日は平日だったため、競技の傍ら、本業のメール対応やコンテンツ作成といった作業を並行していた参加者もいた。
ラックが協力して作成した27件ものインシデントシナリオが用意されており、競技時間中、次々と各チームに襲い掛かる。同時に複数の対応を迫られるときにやはりものをいうのは、技術に裏打ちされた「マネジメント」だ。
Softening Dayで発表を行った各チームからは、「トラブルがわっと発生したとき、優先順位付けが難しかった。全体を鳥瞰(ちょうかん)して見る必要性を感じた」と振り返りの声が上がっていた。逆に、事前に役割分担と意思決定フローを取り決め、「お客さまに被害を与えないことと、自社のブランドイメージを第一に考えよう」と決めていたあるチームでは、情報漏えいが発生した際も、「では、いったんサービスを止めよう」と全員一致でスムーズに決断を下せたという。
Copyright © ITmedia, Inc. All Rights Reserved.