SIRTの組成や担当割り当てからメディアへの対応まで、インシデント対応で考えるべきこと
サイバー攻撃被害を体験、IBMのゲーム「Terminal」をプレイして見えたもの
2020年11月24日 08時00分更新
「正解のない」厳しい判断も求められるエグゼクティブステージ
最後のエグゼクティブステージでは、経営層ならではの課題が待ち受けている。ステージ開始直後、空港内トラブルのエスカレーション(報告)に対して、制限時間内に回答するイベントが発生する。たとえば、メディアからの批判に対して公式声明を発表すべきかどうか、キーカードの認証サーバーが侵害されたのでビル内のゲートをすべてロックすべきか開放すべきか、これから到着する便にどう対処するか、出発予定だった心臓移植用チャーター機をどうするかといった、多様な判断に迫られることになる。
ここでは「自分(エグゼクティブ)が判断すべきこと」と「適任者に任せること」を冷静に切り分けて指示するのがポイントだと、徳田氏は説明する。
現実と同様に、正解がひとつとは限らないのもこのゲームの良くできた点だ
また、メディア取材への対応イベントも経営層ならではの課題だ。「個人的には『ノーコメント』ばかりではなく、少しは情報提供するほうが良いと考えていますが、これも正解はないものかもしれません」(徳田氏)。
メディアの取材に対しては簡潔かつ要領を得た回答を心がけるのがポイント
情報統制という意味では、社員に対する情報管理も忘れてはならない。
「とある金融機関のインシデント対応支援に入ったとき、対策本部があまりにも情報を秘密にし過ぎた結果、社員が不安に陥って『2ちゃんねる』などに書き込みをしてしまい、メディアが詰めかけたという事例があります。社員には、今このようなことが起きており、こういう対応を実施していて、外部から問い合わせがあったらこう答えてほしいと伝えておくことが大切です」(徳田氏)
なお、日本IBMでも社員との情報共有でちょっとした“インシデント”をいくつか経験しているという。
「何年か前にサイバー攻撃を受けたとき、2ちゃんねるの管理者から『IBMからのアクセスが急増して迷惑だから、アクセスを遮断してほしい』と連絡が来ました。どうも、情報を求めて何万人もの社員が一気に2ちゃんねるに押し寄せたらしく、過負荷に陥ったみたいなんです(苦笑)」(徳田氏)
徳田氏はすぐに社内に対して状況を説明し、2ちゃんねるの閲覧や書き込みは自粛してほしいとお願いしたという。それが功を奏したのか、その後は2ちゃんねるにアクセスする人はひとりもいなかったそうだ。
また、得意先から「どうしても状況が知りたい」と乞われて、営業担当者がつい調査中の未確定情報を伝えてしまったケースもあるという。「その時点では正しいと思われる情報も、詳細な調査の結果、違った結果になることもあります。それを公式見解として発表するわけですが、お客様は教えられた情報と違うことから『IBMは嘘をついている』と不信感を覚えるでしょう」。未確定情報を先出ししてしまったことで、何回か痛い目に遭ったと明かす徳田氏。混乱を招かない正しい情報発信のためにも、“情に流されない”情報管理は必須だ。
繰り返しゲームをプレイするうちに「見えてくる」ものとは
このゲームを初めてプレイする人は、制限時間内に次々と選択を迫られることに焦って判断を間違え、あまり得点が稼げずにゲームが終わってしまうに違いない。しかし、何度かプレイするうちに、落ち着いて状況を判断できるようになり、適切な回答を選択しやすくなる。そして、インシデント対応は「企業全体の課題」であり、多様なメンバー間で情報共有と意志決定を繰り返しながら取り組むものだということも見えてくるだろう。
SIRTのような組織を設置するのもよいが、「人を集めただけ」で何をするのかが決まっていなければ、緊急時には機能しない。徳田氏は「対応マニュアルや運用フローを整備してほしい」と助言する。
実際にゲームをプレイしながら解説してもらった。なかには突拍子もない選択肢も用意されており、話が盛り上がる
「(マニュアルやフローは)Excelシートで簡単にまとめたものでも、何でもいいんです。一度は対応の流れを整理してみるといいでしょう。まとめ方が分からない場合は、報告書を作るのと同じ要領で『いつ何が起きたのか』を書き込めるようなテンプレートを作るとよいと思います。結局は使い物にならなかった、というのでも問題ありません。情報整理の方法や対応の流れをまったく考えたことがない状態でインシデントに初遭遇してしまうと、行動を起こすまでに余分な時間を食ってしまいます」(徳田氏)
そもそも「被害を受けてから、初めて必要なものが見えてくることもあります」と、X-FORCE IRISの窪田豪史氏は付け加える。時間に追われる現場で想定にない対応が発生しようものなら、混乱は避けられない。そういうときは、まずは初動対応で外部に入ってもらい、どこでマルウェア感染が発生しているのか、どこまで広がっているのかを一緒に確認し、対応の優先順位付けや判断のサポートを受けるのも手だと述べる。
「今何が起きているのか、状況がうっすらとでも見えてくると、気持ちが少し落ち着いて冷静な判断ができるようになった――。そんな現場を何度も見てきました」(窪田氏)
日本アイ・ビー・エム セキュリティー事業本部 X-Force & Security Intelligence インシデント対応 X-Force IRISの窪田豪史氏
そして何よりも、「経営層にはもう少しサイバー攻撃に対して当事者意識を持ち、インシデント対応に参加してほしい」と、両氏は力を込めて語る。全社のシステムを止めてでも被害を食い止めて再発防止のために原因を追及するのか、それとも事業は絶対止めずに分かる範囲で対処するのか。サイバー攻撃では、多かれ少なかれ事業経営に関わる判断が伴う。
理想的なのは、テクニカルな話を上層部が分かりやすい形でエスカレーションできて、事業内容や企業文化を踏まえた判断を現場にフィードバックし、マネジメントできる“技術と経営の橋渡し役”を配置することだ。ただし、その役割を誰が担うのか、どう育てるかは十分議論する必要がある。
「このゲームを遊んだだけで、こうしたメッセージまで読み取り、考えられる人は相当に感度の高い人」だと笑う両氏。まずは多くの人にゲームを楽しんでもらい、少しでも自社におけるインシデント対応のヒントを見つけてもらえればと語った。
