ランサムウェアがCEOを脅迫――経営層も巻き込んだリアルな「訓練」をfreeeが実施できた理由：「多くの工数がかかりそう」「技術的に難しそう」な訓練、なぜできた？

「標的型攻撃で情報を盗まれ、本番環境のデータベースとシステムを破壊されて、CEOが脅迫される」という、リアルな「インシデント対応訓練」を行って話題となったfreee。「ITmedia Cloud Native Week 2022 夏」では、この訓練を指揮した、同社PSIRTマネージャーの、ただただし氏が、こうした訓練の実施を可能にしたクラウドネイティブな同社の業務環境や組織風土について講演した。

[柴田克己，＠IT]

　ビジネスを支えるITインフラとしてクラウドの導入や活用が一般的になる中、企業には、オンプレミス時代とは異なるリスク管理が求められている。業務やサービスを支えるインフラが、クラウド上にあることを前提に、新たなセキュリティポリシーやBCP（事業継続計画）を策定する企業も多い。

freeeのただ氏

　しかし、実際に何らかの問題が発生した際、組織や個人がそれに適切に対処する行動を取れるかどうかは、文書化された「ポリシー」や「計画」とは別の問題だ。大規模災害の発生を想定し、非常時のアクションについて身をもって学ぶ「BCP訓練」が必要とされているのと同様、巧妙で悪質なサイバー攻撃に直面した際、組織が適切に対処できるように備える上で「インシデント対応訓練」の実施は有用な取り組みといえる。

　クラウド会計サービスを提供するfreeeでは、2021年10月に「標的型攻撃によりセキュリティが突破され、ランサムウェアでCEO（最高経営責任者）に“身代金”が要求される」というリアルなシナリオに基づいたインシデント対応訓練を実施した。訓練を指揮したのは、同社でPSIRT（Product Security Incident Response Team）マネージャーを務める、ただただし（多田正）氏だ。PSIRTは、freeeのプロダクトやサービスに関わるセキュリティを守るチームとして組織されている。同社のセキュリティ対策は、社内の情報システムを担当するCSIRT（Computer Security Incident Response Team）と「PSIRT」の2チームが連携して行っている。

　ただ氏は、2022年6月21〜23日にオンラインで開催された「ITmedia Cloud Native Week 2022 夏」において、こうした訓練を実施した背景や方法、加えて、通常業務への影響を最小限に留めながら、訓練の実施を可能にしたクラウドネイティブなシステム環境と、それを支えたチームの体制について紹介した。

大規模障害をきっかけに全社規模での「訓練」を毎年実施

　2012年創業のfreeeは、「freee会計」をはじめとして、主に小規模法人、個人事業主を対象とした業務システムを、SaaSとして提供する企業だ。会計システムの他、人事労務、福利厚生、受発注処理、プロジェクト管理、資金調達といった、バックオフィス業務の効率化をサポートする多様なサービスを展開している。

　「freeeのプラットフォーム上に経営に関わる全てのデータを集約してもらうことで、ビジネスや事業運営を、より効率的に行える環境を作っていくことを目指している。freeeにとっては、お客さまがプラットフォーム上に集約したデータを守っていくことが、極めて重要なミッションとなっている」（ただ氏）

　全社規模での大規模な「インシデント対応訓練」を、定期的に行っている企業は「あまり多くない」と、ただ氏は言う。freeeがこうした訓練を行うようになったきっかけは、2018年10月に発生した、大規模なシステム障害とサービス停止だったという。その翌年より、毎年10月を「セキュリティ月間」とし、CIO（最高情報責任者）を中心とした「訓練」が、社内で企画されるようになる。

　2019年には「部門ごとのミニ訓練」、2020年には「複数サービスの同時ダウン」を想定した大規模訓練が行われ、2021年には、経営層も関与する形での全社訓練になったといういきさつだ。

シンプルだが巧みに「弱点」を突くシナリオを用意