セキュリティインシデントの可能性は日に日に高まっている。一度インシデントが発生すれば、顧客や取引先など多くの人に影響を及ぼしかねない。だが、どんなに対策をしていたとしても起き得るのがインシデントだ。では実際にインシデントが発生してしまった時、どのような対応を取ることがベストなのか。

9月27日、28日に開催された「TECH+ セキュリティ2022」では、Classi サイバーセキュリティ推進部の井浦博人氏が登壇。「組織視点から読み解くインシデント対応とセキュリティ強化策」と題して、同社で実際にセキュリティインシデントが発生した際の経緯やその後の具体的な対策、インシデント関連情報を公開する意義などについて解説した。

インシデント関連情報の公開に大きな反響

Classiは、ベネッセホールディングスとソフトバンクのジョイントベンチャーとして2014年に誕生し、教育プラットフォーム「Classi」等の開発・運営を行っている。そのデータベースにセキュリティインシデントが発生したのは2020年4月のことだ。SRE(Site Reliability Engineering)からのアラートを受けて、「データベースから重要な情報が抜かれたことが発覚した」(井浦氏)のだという。

発端は外部から従業員宛に送られてきたフィッシングメールだ。これにより、攻撃者は認証情報を得て開発プラットフォーム「Github」内に不正侵入。保存されていたAWS認証鍵を窃取し、本番サービス環境への不正アクセスを行ったのである。さらに攻撃者は不正なサーバを構築し、データベースへ不正アクセスしていた。同社ではこのインシデントの発生を受け、フィッシングメール対策やGithub/AWSの認証強化をはじめ、数々の技術的な対策を講じてきた。これらの内容は「インシデント対応の参考になれば」(井浦氏)と、同社のWebサイト上で公開されている。

  • Classiが受けた不正アクセスの手口

さらにインシデント発生から1年後には、改めて今回のインシデントの経緯や対策、今後の姿勢を表明した。これらは「内省のつもりで行った」(井浦氏)と言うが、その後の反響は思わぬものとなる。セキュリティ関連のサイトで取り上げられたり、セキュリティ関連イベントへの登壇を求められたりと、同社の取り組みへの支持・評価が集まったのだ。

井浦氏はこれらの対応が評価されたポイントとして、「一般的な有事対応と比べてインシデント対応が迅速であった」「インシデント発生時の組織連携がスムーズであった」「その後のインシデント対応情報の在り方に透明性と誠実性があった」という点ではないかと推測する。

【あわせて読みたい】受賞組織の共通点は「文化」の醸成 - 第7回「情報セキュリティ事故対応アワード」開催レポート
【あわせて読みたい】「すべてはお客様のために」 - Classiがセキュリティ対策状況を公表し続けたシンプルな理由 [事故対応アワード受賞]

可視化や全体連携などによって対応スピードを早める

発展途上の企業において、「セキュリティが重要なのは理解しているが体制が薄く、各種対策を行うにも時間がかかる」「やらなければいけないことが多い中、セキュリティ対策が二の次になる」というのはよくあることだ。Classiも例外ではないが、井浦氏は同社が有事発生の際に組織的な対応を迅速に行えたのは、日頃から「経営層のセキュリティ対応感度と判断速度の向上」「自組織のセキュリティ機能設計を考える」「社内外の関係部署との連携を準備する」の3つのポイントに注力していたからだと説明する。

経営層のセキュリティ対応感度と判断速度を向上させる上でポイントとなるのは、「日常的なセキュリティ意識の醸成」「日常的な垂直(ななめ含む)コミュニケーションの醸成」「重要判断を迅速化するためのコミュニケーション設計」の3点だ。

日常的なセキュリティ意識の醸成について井浦氏は、「セキュリティ対策は普段、何をやっているか分かりづらい」としつつ、これらをどう経営層に伝えるかが重要だと言う。同社ではクラウドサービスを利用してセキュリティレベルを可視化したレポートを出力、他社との比較も含めたレポーティングを意識して行っているそうだ。

また、井浦氏は同社内におけるコミュニケーションの特徴として、現場における直接的な縦、横の連携だけでなく、部門や上下関係を飛び越えた“ななめ”の連携が多いことを挙げる。これは普段から企業文化や風土の定着に力を入れているためで、企業文化浸透を目的とした専門部署「Company Culture部」があることも明かした。

重要判断を迅速化するためのコミュニケーション設計では「基本を徹底することが大切だ」(井浦氏)とし、インシデント発生時の対応計画の文書化や、エスカレーション手段の確保・ルール化といった準備をしていた点が、迅速な対応につながったのではと推測する。さらに同社ではインシデント発生の際、緊急対策本部を設置し、時間単位の確認と指示出し・振り返りを行ったことで、タイムラグのない判断ができたことも対応の迅速化の一助になったという。