訓練のシナリオは、社内の従業員端末がマルウェア感染の被害に遭い、攻撃者が高セキュリティ環境に侵入。その後、認証を突破され特権機能を利用して情報が窃取され、さらに被害が拡大するところまでを想定しました。
グループワークでは、(シナリオ上で)発生している状況が都度伝えられ、その状況下で各部署の担当者が実施する(実施すべき)事項について協議し、その内容を共有しあいました。
サイバー攻撃に備える LINEヤフーの全社セキュリティ訓練の裏側
コーポレート
日常生活で「もしもの時」に備えることは、誰にとっても大切です。特にデジタル社会では、サイバー攻撃のリスクが増加しており、個人情報の流出やサービスの停止といった深刻な影響が私たちの生活やビジネスを脅かしています。
LINEヤフーでは、こうした脅威に対抗するため、全社を挙げて「インシデント対応訓練」を定期的に実施しています。この訓練は、実際の攻撃を想定したリアルなシナリオを通じて、社員が一丸となって危機に立ち向かう力を養うものです。
今回は、この訓練の目的、実際の業務に活かせるようにするための工夫などを責任者に聞きました。
- 日野 隆史(ひの たかし)
- 2001年にヤフーに入社。2015年にセキュリティ部門に異動し、教育、プロモーションのマネジメントを行う。2021年よりZホールディングスに転籍し社内のセキュリティ全体のマネジメント業務に従事。2023年よりLINEヤフーのセキュリティマネジメント部部長。
- 今井 健太(いまい けんた)
- 2005年にヤフーに入社。情報システム部門で全社員のリモートワーク環境整備支援やSlackの全社導入、ベトナムのオフショア開発拠点の構築などの企画業務を推進。2021年にセキュリティ部門に異動後、プロジェクトマネジメントに注力。インシデント対応訓練や全社教育、コンシューマー向け啓発サイトであるLINEヤフーセキュリティポータルの開発とリリースを手掛け、社内外のセキュリティ啓発活動を推進。
インシデント対応訓練の目的とシナリオ
――まず、今回実施した全社インシデント対応訓練の目的を教えてください。
2月に実施したインシデント対応訓練では、全社レベルのインシデントが発生した場合に備え、各組織が横断的に対応方針を共有し、以下の3点を達成することを目指しました。
各担当での対応の論点
| システム部門 | サーバーでの止血対応として、どういったことを求めるべきか/確認すべきか。 サーバーへの直接的な対処をどうすべきか。現場での初動対応、情報共有をどのように行うか。 |
|---|---|
| 広報部門 | 報道発表要否判断。 |
| リスクマネジメント室 | 重大インシデント判定とその結果に基づく行動(特に情報共有)。 |
| 法務統括本部/政策企画特別渉外室 | 想定リスクに対する対応方針、当局を含めた外部機関への対応。 |
| カスタマーサービス | 外部からの問い合わせへの体制構築要否判断。 |
| CSIRTチーム | 現場への助言や対応支援。 |
| サイバーセキュリティ分析部 | 各種調査(具体的な調査対象確認)。 |
――今回の訓練を実施するにあたり、特に重視したことを教えてください。
今回の机上訓練では、インシデント発生後の連携を確認することを特に重視しました。インシデント対応は「総合格闘技」と言われるほど、さまざまな部門が連携しなければならないため、実態に近い訓練を行うことが重要だと考えています。世の中にはさまざまな攻撃があるので、それに対処できることが必要だからです。
また、実際に事故が発生する際には、ビジネスを継続している中で対応しなければなりません。さらに、場合によっては記者会見を開かなければならないこともあります。
こうした状況を想定し、できる限りリアルに訓練することが目的です。訓練がリアルに近ければ近いほど効果的なので、今後もそうした方向で進めていきたいと考えています。
多くの社員にとって、実際のインシデントを経験することはまれです。そのため、訓練では、想像もしないインシデントに直面することで、新たな気づきを得ることが大切だと考えています。訓練後には必ずアンケートを実施して、その結果を基に内容を改善しています。
今回の訓練では、各サービスが持つ情報の重要性や、インシデントが発生してしまったときの影響度、経営へのインパクトを具体的に参加者に伝えることで、即時対応の重要性を理解してもらうよう努めました。
また、なかには対応の共通ルールが決まっていないものもあります。それをあえて訓練で取り上げ、「これは決まっていない」ということを認識してもらいました。
その上で、どのように行動するかを考えてもらうことが訓練の重要な要素だと考えたからです。意図的に未決定の事項を提示したことで、参加者の意識をさらに促すことができたのもよかったと思います。
訓練では、セキュリティ部門では当たり前と思っていたルールや概念が、実はサービス側では当たり前ではなかったり、私たちが課題と感じていたことが、あるサービスにとっては課題と見なされていなかったりすることもありました。
訓練を通じてこのような状況を他部署のメンバーが知ることができたという点でも、訓練には価値があったと考えています。これらの状況が明らかになれば、教育を通じて改善できるからです。
そして、人や組織は常に変化し、新しい攻撃は常に増えていくので、セキュリティの世界では「これでゴール」ということはありません。
私たちは、訓練の実施だけでなく、定期的な教育を通じて具体的なスキルが身に付くようにPDCAサイクルを回すことを心がけています。可視化や数値化を進めて、どこが足りないかを見極め、訓練や教育に反映していくことで、社員の意識とスキルを高める取り組みを続けています。
具体的には、セキュリティに関する9項目ほど設定しており、定期的にそれぞれの項目について、「知っている」「実行している」などの指標を設けて全社員に調査しています。
これらの数値は社員の増加や異動などにより時々変動します。たとえば、「外部ツールを正しく申請して使っているか」という項目では、最初は多くの人が「できている」と答えていましたが、後にその数値が下がっていることが分かりました。
このように、データを数値化し可視化することで、見えてくることがあります。このように数値化することで不足している部分を明らかにし、それを補う施策を繰り返し実施することが重要だと考えています。
過去からの学びを力に セキュリティ強化の取り組み
――訓練では、各本部のメンバーが質問に迷うことなく回答していた様子が印象的でした。
歴史を少しさかのぼりますが、LINEもヤフーも、それぞれの会社だったころからさまざまなインシデントを経験してきました。それらの過去の苦い経験から学んできたことも理由の一つだと思います。
「同じことを繰り返してはいけない」という意識を持ち、さまざまな訓練を積み重ねてきました。
現在、LINEヤフーのユーザー数は1億を超えており、社会インフラとしての役割を果たしています。私たちが共通認識として大事にしている価値観は、ユーザーに迷惑をかけることなく、安心安全にサービスを使っていただきたいという思いです。LINEヤフーでお預かりしているデータ、そしてユーザーを守るという思いが、私たちの教育活動の基盤となっています。
今回実施した訓練は高度な訓練ではないかもしれませんが、組織や体制、人が変わったときにどう動けるかを確認する基本的な訓練です。組織が変わるたびに繰り返し行うべきものだと思っています。
各部署の担当者が対応について話し合う
――法務や広報担当者など、全社的なセキュリティに関連する部門のマインド醸成や教育は、どのように進めているのでしょうか。
先ほどもお話しした通り、これまでの事故の経験を通じて、セキュリティはCISO(最高情報セキュリティ責任者)やサービス部門だけの問題ではないことが明らかになりました。たとえば、ヤフー時代に2012年に発生したファーストサーバの情報消失事件の際には、当時(ヤフーの)社長だった宮坂が「全員で総力戦で対応しよう」と事件発生と同時に社内に即座に号令をかけました。
このときは、セキュリティに関連する社員だけでなく、法務やカスタマーサービス、総務、さらには健康管理室の心理カウンセラーまでが招集されました。長期戦になる場合にはメンタルケアも必要だからです。
参考)重大事故の時にどうするか?(当時ヤフーの社長だった宮坂のnote)
そのような取り組みを重ねた結果、現在は各サービスに独自のガイドラインがあり、BCP対応や有事の際のフローも確立されています。また、インシデントが発生した後には必ず振り返りを行い、何が不足していたのかを議論する機会があります。
これらの振り返りが教育の一環として積み重なっていると感じています。2023年10月からはLINEヤフーとなり会社がさらに大きくなったことで、こうした取り組みが一層重要性を増してきていると考えています。
訓練には広報担当も参加
セキュリティは会社の枠を超えて連携できることが魅力
――お二人がセキュリティ教育や訓練に長い間取り組み続けられるモチベーションは何ですか?
私のモチベーションは2つあります。1つ目は、この会社が好きだからです。ヤフー入社後に素晴らしい指導者に恵まれ、社長をはじめとした当時の上長や先輩方から非常に厳しく指導された経験と教えが、今でも役に立っています。今、彼らに恩返しはできませんが、「彼らが築いたこの会社を守りたい」という気持ちがあります。
2つ目は、LINEヤフーのサービスを多くの方が使ってくださっていることへの感謝です。これは普通のことではなく、非常にありがたいことです。だからこそ、その恩を社会に返すべきだと考えています。
10年ほど前からは、セキュリティの教育や訓練を行うだけでなく、若い大学生や外部の人々にも正しくセキュリティを理解してもらうために、大学での講義も続けています。このように、セキュリティ分野では会社の枠を超えて連携できるという点も魅力です。
私は情報システムの分野からセキュリティの領域に足を踏み入れました。当時、セキュリティは非常に注目されている分野であり、アメリカのセキュリティ企業も急成長を遂げていました。世間全体のセキュリティ意識が高まっていた時期でもあり、新しい分野への挑戦を求めて、私はセキュリティに携わることになりました。
現在はインシデント対応訓練だけでなく、「LINEヤフーセキュリティポータル」という啓発サイトも担当しています。このサイトを作ったのは、私たちが当たり前だと思っていることが、一般の人々にはそうではないことが多いという気づきからです。
たとえば、私がよく行く飲食店の店主が「こんなメールが届いたが、早く振り込まないとまずい」と言っていたので見せてもらったところ、それは詐欺メールでした。また、家族から「こんなメールが届いた」と見せてもらったメールも、フィッシングメールでした。
私たちには当たり前の詐欺やだましが、世の中ではまだ当たり前でないことも多いと思います。そういった人たちを救いたいという思いで、この仕事に携わっています。
未来を見据えてよりリアリティーのある訓練を目指す
――最後に、今後取り組んでいきたいことを教えてください。
日野が先ほど話したように、ビジネスとセキュリティを両立させることは大きなプロジェクトとしてぜひ取り組んでいきたいですね。今後は自社のビジネスインパクトやサービスの重要度に応じた訓練を定期的に展開していきたいと考えています。
また、全社員が当事者意識を持って、これまで以上に訓練に参加してもらえるような仕組みを作りたいと考えています。起きていないことに対しては、どうしても他人事のように感じてしまうことがあるかもしれません。当事者意識を持つことで、有事の際に迅速に対応できるようになると考えています。
たとえば、説明責任が求められたときに、記者会見でしっかり答えられるか、説明できるかといったスキルも重要です。今後はハードニングのような訓練を通じて、実際に攻撃を受けたときにどのように対応するかをよりリアルに、解像度を上げて取り組んでいきたいと思います。
今回の訓練は、繰り返し行うことで完成度が高まり、意義のあるものとなります。その上で今後目指すのは、インシデント発生前も含めた総合訓練です。法務や広報、カスタマーサービスなどのさまざまなステークホルダーを巻き込みながら実施したいと考えています。
具体的には、たとえば仮想の攻撃に対処する訓練です。これはハードニングに近いものですが、その中で売り上げと利益を維持しつつ、お客様に状況を伝えながら守るという、一見矛盾したような複雑な訓練など、よりリアリティーのある訓練を目指したいですね。
これからも、LINEヤフーユーザーのデータ、そしてサービスを守ることを最優先とし、定期的な訓練や教育を実施していきます。そして、信頼される社会インフラとしての役割を果たし、ユーザーのみなさまが安心してサービスを利用できる環境を提供し続けたいと思います。
※ハードニング:
組織がサイバー攻撃に対する防御能力を向上させるために行う実践的なトレーニング。実際の攻撃シナリオを模した環境で、参加者がどのように対応するかを学ぶ。
関連リンク
取材日:2025年3月7日
※本記事の内容は取材日時点のものです
- LINEヤフーストーリーについて
- みなさんの日常を、もっと便利でワクワクするものに。
コーポレートブログ「LINEヤフーストーリー」では、WOWや!を生み出すためのたくさんの挑戦と、その背景にある想いを届けていきます。