【記事の要約】
クラウド型会計・人事サービスを提供するfreeeは、2018年に大きな障害を発生させた経験を風化させないため、障害対応訓練を毎年実施している。22年の演習は、攻撃者がfreeeのサービスに含まれるWebフォームの脆弱性をついて改ざんし、ログインIDとパスワードを盗み、IDとパスワードを用いてなりすましアクセスを実施。数千アカウント分の従業員情報や給与情報、家族の情報、さらにマイナンバーといった情報を入手するという想定だった。さらに「漏えいした情報を公開されたくなければ金銭を支払え」という脅迫が顧客企業に行われてしまい、顧客や報道陣から、広報やセールス部門に問い合わせが相次ぐという流れで訓練は行われた。訓練では、エンジニアの作業中に偉い人が「いったいどうなってるんだ」と口を挟み、集中力を削ぎ、対応が遅れることを防ぐため、決まった時間にGoogle Meetで報告するようにし、障害時に関係者がリアルで集まる部屋に残ったセキュリティの責任者が説明する体制を取った。

【私の考え】
障害対応は、企業ブランドへの悪影響を最小限に止めるためにも、益々重要性が高まると考える。具体的なシナリオを想定した訓練するFreeeが、毎年訓練を行っても、反省から、障害時に関係者が集まる部屋を今年新設するなどの動きが見られることからも、訓練の有無で有事の初動は大差が生まれると考えられる。一方、シナリオは、障害がもたらす各部門への影響を理解している人でなければ考案が難しいため、障害対応の訓練用のシナリオを作る研修企業の需要も高まると考えた。