ヤフーグループ向けに開催「もしもの時のセキュリティ訓練」

こんにちは。セキュリティアカデミーの大塚英恵です。

かんたんに経緯

ラックは、2016年からヤフーグループ社員を対象とした情報セキュリティ研修、「もしもの時のセキュリティ訓練」（通称もしセキュ）に協力しています。この訓練型の研修は、年々実施回数を増やし、2019年はほぼ毎月開催しています。会場も年々拡大しており、東京（本社・紀尾井町オフィス）以外に、大阪、福岡、北九州でも実施しています。実施回数は35回に達し、のべ参加人数はまもなく600名を超えます。

過去にLAC WATCHで紹介している、ヤフーグループ社員向けHardening Project^※1は、仮想ショッピングサイトへの攻撃に対応する技術者向けの演習であるのに対して、この「もしセキュ」は、システム系に携わった経験がなくてもOK、むしろさまざまな職種の方が集まりチームとなって訓練を受けることでより効果が出る研修です。

※1 過去の記事はこちらをご覧ください。
サイバーセキュリティ演習を実施しました
「Yahoo! JAPAN」実践型セキュリティ総合演習に技術協力しました（2018年版）

インシデント対応訓練とは？

「もしセキュ」は、ラックが2004年から実施しているインシデント概論とシミュレーション訓練をもとにしています。

「業務が多忙な社員でも参加しやすくしたい」というヤフー側担当者の方の意向を受け、同社向けには、「事前学習を各自行うことで時間短縮」し、主に訓練を行う研修として再編集しました。研修名のように「もしも、セキュリティ事故が起きてしまったら・・・」という想定で、チームメンバーで協力し合い、事故の収束と復旧、再発防止策の検討を進めます。

訓練シナリオはラックが用意しました。舞台となるのはオンラインショッピングサイトを運営する「株式会社らっこ」です。まさに、現実のヤフーショッピングに近い業態で、参加者はその社員となり、事故対応を担うCSIRT^※2の一員になります。

※2 CSIRT：Computer Security Incident Response Teamの略。サイバー攻撃に緊急対応する社内専門チームのこと。

CSIRTは発足したばかりという設定のため、運営するうえで本来あるはずの対応フローや手順書のような事前の準備は何もありません。本当に事故が起きたのか、事故の原因は何か、影響範囲の調査はどのようにするか、すぐにシステムを停止すべきか、それとも継続すべきか、誰に何を、いつ連絡したらよいのか・・・先手を打たなければ被害が拡大していく状況で、次から次へと判断が必要になります。訓練が進行していくと、あまりの情報の多さに、フリーズしてしまうチームもあるほどです。

実際の事故対応でも、刻々と変わる状況の変化を把握することで頭がいっぱいになり、本来必要な原因究明や情報連携ができず、対策が後手に回ることが多々あります。対策を的確に講じるためにも、まずは冷静になること、そして状況を記録することの重要性を感じてもらうことも訓練目的の一つです。

拡大し続けるZホールディングスグループ

研修の冒頭のあいさつでは、ヤフー側の担当者の方が毎回、「この研修をヤフーグループ全社員に受講してほしいと思っている」というメッセージを発信してくださいます。実のところ、ヤフー株式会社は2019年10月1日に「Zホールディングス株式会社」と商号が変更し、PayPay、ZOZOの子会社化やLINEの経営統合も控えており、その「全社員」の範囲が日々拡大しています。「本当に全社員が受講できる日は来るのだろうか」と思うスピードで事業拡大しています。それでも毎回「ヤフーグループ全社員に受講してほしいと思っている」と言っていただき、その言葉に、拡大するグループ会社が一丸となってサイバー攻撃に立ち向かい、挑戦を続けていくという同社の強い意志を感じています。

この研修は、一方的にラック講師が話し、知識を習得してもらうものではありません。参加者自身が考え、行動し、失敗することで得られる「気づき」こそがいちばんの収穫です。ここからは、アンケートの回答から研修で得られる「収穫」をポイントごとにお伝えします。

Q. 今回の研修で何を得ることができましたか？

準備の重要性

『事前に準備していないと事故発生時の対応が場当たり的になり、抜け漏れが多く発生するため、 あらかじめ定義された対応手順に従って対応することの重要性を再認識しました』

『いかに平時に備えているかが大事だと思いました。インシデントが起きてからしか考えられないことがあるので、それ以外のことは準備しておき、対応になるべく時間を掛けずにすむようにしておかないといけないと思いました』

違う業務を行う他の社員への気付き

『人へ的確に指示する難しさ、決断のタイミングの難しさを実感しました。セキュリティ関連は技術任せの部分が個人的にありましたが、様々な組織でも役割があり、社一丸となって対処しないと損害が大きくなることがわかりました』

『自分が上司の立場になった時、あらゆる方面に気を配らなければならないのはとても大変なことだと感じました』

繰り返し体験することの重要性

『非常に有意義な時間でした。理論を頭でわかっていても、体験すると具体的なことが理解できていないということや、その場で焦ってしまうということがわかりました。繰り返し受講したいです』

組織を俯瞰し、自分は何をすべきか

『インシデントが発生した際に、会社組織として何をしなければいけないのかという点を体験することができた。自分の所属する部署や拠点では、どのような連携が必要でどのように対処するのがよいのか、それが全体を見たときにどのような役割を持つのか知ることができた』

研修での経験を本来の業務に置き換え、業務改善に

『実際にインシデントが発生した場合に自分になにができるのか、手順や社内規程を確認するなど、今の自分にできることはすぐに取り掛かります』

『研修の想定環境がヤフー社の環境に近いと感じました。弊社が委託・ご提供している情報が外部に漏れた場合の想定対応について再考することができました』

研修を受講し終えた方からの「別のシナリオでも参加したい」という声にお応えし、今年は新しいシナリオも作成しました。訓練は継続して何度も実施することが重要です。セキュリティアカデミーでは引き続き、ヤフーグループをはじめ、社員のセキュリティ事故対応力を向上させようとする組織の支援に取り組んでいきます。

この研修を担当した講師

関連リンク

「チームワークでセキュリティ事故を乗り切る」もしもの時のセキュリティ訓練 - Corporate Blog - ヤフー株式会社