「サイバー 攻撃その瞬間社長の決定」を読んだ
読んだ
軽い気持ちで読んだけど思ったより学びが多かったので備忘録。
どんな本か
2024/9に株式会社関通に対してランサムウェア攻撃が発生した。概観は我らがpiyologがわかりやすくまとめてくれている。
物流代行事業者のランサムウエア感染についてまとめてみた - piyolog
2024年9月13日、物流代行事業を展開する関通は、ランサムウエアによる社内システム障害が発生したと公表しました。同社のサービスで保有していた情報が流出した可能性もあることから、同社サービスを利用する多数の企業から関連する公表がされています。また同事業を行う倉業サービスも不正アクセスによるシステム障害が発生したと公表を行っています。ここでは関連する情報をまとめます。 物流代行事業者でランサム被害 2024年9月12日18時頃にシステム障害を検知し、その後一部サーバーにおいてランサムウエアの感染が確認された。同社の外部ネットワークの接続口から侵入され、その後複数のサーバーに被害が及んだ。 更なる…
記事を読むとわかるが提供していたサービス・ビジネスの特性上、多くの会社に被害が波及しており被害範囲は小さくなかったと言える。
この本は関通の社長自身がこの事件についての一部始終を語り、またそれを教訓としてサイバー攻撃にどのように備え、対応すべきかがまとめられた本。
感想
感じたこと、考えたことをつらつらと残しておく。
語り手が社長であるが故の生々しさ
サイバーセキュリティインシデントについて語った本でありながら、語り手はあくまで社長なのでそれ故の生々しさが出ているなと思った。
構成として、最初の8割くらいは時系列を追って順に起きたことやそれに対する対策、社長の心情が書かれている。
当時、会社のトップとしてどのような背景に基づき、どのような意思決定をしたのか。その時に内心はどのような気持ちだったのか。
例えば社員からも不安の声が大きい中で社長ももちろん同じ(もしくは捉え方によってはそれ以上)心情でありながらそれを表に出さずにいかにリーダーシップを発揮すべきかに向き合う話等。
資金繰りのしんどさ
インシデント対応にかかる費用や、対応が進むにつれて顧客から上がってくる損害賠償についての交渉等についても時系列に沿って書かれている。
その中で徐々に資金面のリスクが上がっていたという話が書いてあるんだが、これはセキュリティチームだけに視点を閉じてしまうと触れられない世界なので興味深かった。
具体的にはインシデントへの対応コスト、インシデント後の復旧にかかるコスト、対顧客への損害賠償やその調整のためのコストが大きかった印象。
特に復旧に関しては単なる人件費だけではなく、常態化しそうになっていた長時間の残業や連続勤務に対してコストを通して対応を行なっていてリアルさがあった(会社近くにホテル2室借り上げて休憩部屋にする、みたいなやつとか)。
また、サイバー保険の補償対象かどうかのやり取りに終始ストレスを抱えていたという話があるのだが、その背景としてそれをあてにしてFinance戦略を組めるかどうかが決められない状況があったと記載がある。
お客さまに対して真摯に向き合うスタンスを示していきたいものの、一辺倒な補償をしてしまうと単純にキャッシュがなくなるリスクさえある。
その中で意思決定を迫られる様子はサイバーリスクが大きく顕在化したときに会社の存続にきちんと影響する1つの事例として学びがあった。
信用貯金の大事さ
piyologの記事を読めばわかる通り、今回のインシデントは関通の情報が漏洩してシステムが止まった、という話ではなくお客さまの情報にまで大きく影響が及んでいる。
そうなると当然、関通と取引を続けるべきかという視点がお客さまにはある。
だが本の内容を素直に受け取るならば結果として事業継続が不可能になるほどのチャーンや取引停止は発生していないように読み取れた。
実際のお客さまからどう見えたのかはわからないという前提はありつつ、この本の視点ではインシデントの対応の過程で透明性や誠実さを第一に置いてる印象を受けた。
例えば情報は隠さず伝えられる範囲で伝える。時には対面でのコミュニケーションを持って誠実に対応する。お客さまそれぞれの要望に対して応えられる範囲で応える等。
実際のメールの文言とかも記載されてるので気になる人はぜひ本を読んでほしいがこのスタンスをインシデント前も持っている企業であったなら、取引停止が事業継続できなくなるほど発生しなかったのはそれまでの獲得した信用貯金の賜物なのかな、と推察している。
一方で当然、取引停止や事業機会の喪失も多く発生しておりダメージが決してなかったわけではないが。
サイバーセキュリティ対策は経営の責務という認識
本の終盤の方はこのインシデントを踏まえた教訓や実際に備えるべきこと、発生時の対応手順を具体的に書いてあるのだがその過程で「サイバー攻撃は経営課題」というフレーズが出てくる。
これは個人的にはかなり印象的だった。というものの例えば経産省が出しているサイバーセキュリティ経営ガイド v3とかでも似たトピックがある。
自分が読んだ時のメモは下記。例えば1つ表現を引用すると経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要というフレーズがある。
サイバーセキュリティ経営ガイドライン Ver 3.0を読む
Sota Sugiuraさんのスクラップ
短いながらも自分がセキュリティエンジニアに転向してからこれを読んだ時の印象としては「理想としてはそうだけど現実、どこまでやり切れるのかな?」だった。
というのも会社を作るのは免許制ではないのでセキュリティの知識はなくても当然、会社は作れるしこのガイドラインに触れる機会が強制されてるわけでも(おそらく)ない。
そもそも経営課題として優先度が高くなりやすいのはきちんとお金を稼げる事業を創り出し、継続し、成長させることだと僕は思っているし、それが間違ってるとも全く思っていない。
じゃあ会社が生まれてから成長していく過程のどこで「経営がサイバーセキュリティ対策のリーダーシップを発揮できる」タイミングがあるのか。そもそもリーダーシップってなんだ?CISOを入れるのがいいのか経営直下にセキュリティチームを置くのでもいいのか、等々思いを馳せてた。
ので、ITサービスを本業としてない関通の社長からこれが語られるのは1つのモデルケースとして面白いと思った(インシデントきっかけとはいえ)。
付け加えると、このフレーズ以外にも具体的に会社としてできていなかったこと、これから徹底することも具体的に書かれていて口だけで言っていたり、経営課題(実行は丸投げ)、みたいな状態ではなさそうな印象も受けた。
最後に
読んでから細切れに記事書いてたので色々頭から抜けたりうまく言語化できてない部分もあるが個人ブログなのでよしとする。
個人的にはセキュリティチーム以外にこそ薦めたい本だなと思ったし、被害者でありながら赤裸々に当時の話を文書として世に出してくれた関通さんには感謝の気持ちをWebの片隅でひっそり述べたいと思います。
自分の仕事への向き合い方に活かせる部分もある気がするし、たまに背表紙を見て背筋を伸ばすために本棚に置いておこうと思う。