約10名のエキスパートから編成された専門家チームが、クレジットカードや個人情報の流出、Webページ改ざん、ウイルス感染などのトラブルに総合的に対応する。2010年度は130件の緊急対応を行った実績を持つ。2月に行われるパートナープログラムの開始にあたり、対応チームを率いる、株式会社ラック サイバー救急センター センター長 江尾一郎氏に、ミステリー作家の一田和樹氏がインタビューを行った。
一田氏は、セキュリティ業界経験を持ち、サイバーセキュリティ事件を描いた長編ミステリー小説「檻の中の少女」を4月下旬に刊行する新人作家だ。同書の主人公は、フリーのサイバーセキュリティコンサルタントとして、さまざまな企業のトラブル解決を請け負うが、技術者ではなく、ソーシャルエンジニアリング、つまり、人対人の駆け引きを得意としている。「サイバーセキュリティの要諦はヒューマンファクター」という点で、いみじくも江尾氏と一田氏の意見は一致した。その対談の模様を紹介する。(本文敬称略)
緊急対応サイバー119
http://www.lac.co.jp/cyber119/
サイバー119特設ページ「ラック救急舞台を率いる男」
http://www.lac.co.jp/column/scene1.html
一田和樹公式ツイッター
http://twitter.com/K_Ichida
江尾
私どものサービスを説明するときに重要なことは、分析調査といった技術面よりも事業継続性を優先しているという点です。たとえば、ER(緊急救命室)に患者が運ばれてきた時に、最初に怪我の原因を分析しないですよね。優先すべきは生命です。出血を止め、治療します。情報セキュリティインシデントも同じです。患者の生命は、企業でいうと事業継続に当たります。原因を分析して犯人を特定することも大切ですが、まず事業継続のために必要な措置として、技術的な面だけではなく事業内容、顧客との関係を把握し、インシデントの告知方法など全てにわたって全力で支援します。
写真:株式会社ラック サイバー救急センター センター長 江尾一郎氏
一田
なるほど、確かにその通りですね。しかし、インシデント発生から効果的な緊急対応を行うには、時間的な問題も大きいと思います。こちらのサービスでは、まず緊急連絡から始まるんですよね。24時間体制での連絡は、どのような形でおこなうのですか?
江尾
緊急連絡は電話のみで行います。営業時間外は経験を積んだ担当が携帯電話を常に持ち歩いています。
写真: 江尾氏が初動対応を行う携帯電話
一田
やはり経験を積んだ方じゃないと対応は難しいのでしょうか?
江尾
はい、一刻も早く対応を開始するため、可能な限り短時間に、的確に状況を把握しなければなりません。状況を把握して次の行動を開始するまで10分を目途にしています。電話受け付けだけを目的とした窓口では、実際に機能しないのです。
一田
10分…それはかなりスキルが要求されますね。何名くらいスペシャリストがいるのでしょうか?
江尾
弊社取締役の西本を筆頭に数名が待機しています。担当者は、自宅にいても食事をしていてもこの電話を持ち歩いています。
一田
電話してくるのは、ある程度の権限を持った方、デシジョンメイキングのできる方ですか?
江尾
そうです。大きな会社であれば情報システム担当の責任者、中小企業であれば社長です。中には、そうではないケースもあります。そんな時は、事故の件が社長に話が通っているかどうかの確認をし、事故の報告がしにくい雰囲気を感じたら、担当者と社長の間に入るようにしています。
一田
電話してきた方が、必ずしも正しく状況を把握していないことも多そうですね。つまり、個人情報が漏れたとか、サーバのここが改ざんされたとかはわかっていても、それが対外的にどういう意味を持つかがわからない。顧客の間に不信感が広がったり、社会的信用を失ったり、ひどい場合には、メディアからのバッシングにつながるかもしれない。
江尾
その通りです。お電話いただいた方が、事態をちゃんと把握できていないことが少なくありません。当事者はたいしたことじゃないと思ってしまい、対処が遅れてしまうんですね。それでも、当社に連絡をいただいただけでも素晴らしいことです。
一田
先日クーポンサイトで起きたおせち事件も、事件発生時の対応の悪さがより事態を深刻なものにしましたね。状況を把握すると、すぐに次の行動に移るわけですね。
江尾
はい。電話を切ったら、すぐに関係者のメーリングリストに情報を流します。するとそれぞれが行動を開始します。風評被害はどれくらい広がっているかとかそういった情報収集も行います。私たちは、電話を受けてから72時間で収束の方向に向かうよう努力をしています。チームの各分野の専門家を総動員して集中的にやります。なぜなら、事故対応は遅れれば遅れるほど事態は悪化します。その意味では、1分1秒も惜しいんです。
一田
下世話な話ですが、そこまでのところでお金の話は出てこないのですか?
江尾
基本的にはお金の話をする前に行動することがほとんどです。もちろん過去のケースなどから目安を申し上げることはしますが、どれくらいの事故対応工数がかかるか最初はわかりませんし、お客様のセキュリティ対策状況や対策の施策内容でも変わりますから。
一田
それでは、後になって料金を支払えないこともあるのでは?
江尾
そういったことが発生しないよう、お話をしながら調整を行いますが、支払いが厳しい場合もあります。しかし、ERでも瀕死の患者を前にして治療費よりも延命です。まずは最善を尽くして救命措置を行います。それと同じだと思っています。
ちなみに、ERというとクリーンなイメージがありますが、どちらかというと野戦病院といった印象ですね(笑)
一田
野戦病院ですか(笑)ビジネスとしては大変そうですが、それを乗り越えると強い絆が生まれそうですね。
江尾
毎年行われる社内の忘年会には、クライアントさんからたくさんプレゼントをいただくなど、逆にお世話になっています(笑)
サイバーセキュリティインシデント対処の要諦は、総合的なアプローチである。その中でもヒューマンファクターが重要だ。江尾氏と一田氏は、インシデントの背景にはマネジメントなどの人的問題があると語る。一田氏の「檻の中の少女」の主人公、君島悟は、腕利きのサイバーセキュリティコンサルタントである。その強みは、ソーシャルエンジニアリングや金融など、サイバーセキュリティ取り巻くさまざまな要素を総合的に知っていることだ。彼は、その知識を生かして事件に取り組んでいくのである。
一田
さきほどからのお話をうかがっていると、119サービスにおいて、サイバーセキュリティの技術というのは、ひとつの要素に過ぎないという感じがしますね。
江尾
私たちが行っているのは、事業の救命措置であってシステムの救命措置ではないのです。事業を救うためには、事業そのものを総合的に理解しなければなりません。その上でどのような対処をどのような手順で進めるべきかを判断しています。その中にあっては、フォレンジックなどテクニカルな分析は後回しになることが多いです。例えば、EC事業を営んでらっしゃる企業さんの場合、サービスを止めることは事業継続に関わる大問題です。犯人がわからなくても、まず出血を止めて救命措置を進めれば事業に与える影響は最小限に抑えられます。
一田
確かにそうですね。インシデントの技術的な枝葉を見ていては「手術は成功したが患者は死んだ」ということにもなりかねませんね。
江尾
ええ、私たちの自慢のひとつは、ご相談いただいた企業さんでつぶれたところがないことです。サイバーセキュリティインシデントが原因でつぶれてしまう会社さんは意外とあるんです。
クライアントには満足をいただけるサービスですから、パートナー様と協力関係を結んで情報発信や遠隔対応など、野戦病院から総合病院を目指したいとおもっています。(第2回へつづく)
プレスリリース:サイバー119パートナープログラムを開始
http://www.lac.co.jp/news/press20110224.html
(一田和樹)
