あるCISOの一日

朝8時、セックはいつものようにオフィスに到着した。受付に簡単に会釈を交わし、エレベーターで22階のセキュリティ統括部へと向かう。鞄をおろし部屋に入ると、モニターにはいくつかの警告が点滅していた。おそらく昨夜発生したインシデントの影響だろう。
既に報告は電話で受けていた。

「おはようございます」駆け付けたエンジニアの大平が声を掛ける。

「深夜に発生した不審トラフィックの件ですが、初期の解析では内部サーバへの標的型攻撃の疑いが出ています」

セックはモニターに映し出された通信ログを注視した。確かに外部から大量の通信がノードに向かっていた形跡がある。攻撃の痕跡か。

「被害状況は判明したか?」セックが素早く質問を返す。

「はい、サーバ自体への被害は今のところ確認できていません。ただし、一部の機密データが暗号化されている可能性があります」大平が答えた。

セックは眉をひそめた。機密データが攻撃者の手に渡れば大問題だ。緊急でインシデント対応チームを招集する必要があるだろう。

そして同時刻、別の監視チームからも連絡が入った。
今度は夜間のバッチ処理中に、マルウェアが内部システムに侵入した形跡があるというのだ。

「二件の案件が一晩で重なるとは...」セックはしばらく沈黙を守った後で、「それぞれのインシデントで調査チームを編成し、被害範囲の特定から始めろ」と指示を出した。

直後、さらに従業員から個人情報流出の疑いがある旨の連絡が入った。
セックは深く溜息をついた。

「なんで朝からこんな・・・」
人知れず静かに舌打ちをして廊下を急ぐ。

朝9時、セックは緊急のインシデント対応会議を開催した。各調査チームから報告を受け、具体的な対応策を協議する。

まずは不審トラフィックの件だ。ネットワークチームによる徹底した解析の結果、内部サーバへの標的型攻撃であることが判明した。攻撃経路の特定やマルウェア痕跡の有無など、状況把握に全力を注ぐよう指示が出た。

次にマルウェア侵入の件についても、深刻な事態であることが露わになった。バッチ処理システムの監査ログを探れば、一か月以上前からマルウェアの活動があったという。機密データの窃取被害もありうる。

「判明次第バックアップからのリストアも検討する。バックアップの状態も調べてくれ。」

はい、という返事を確認しながら次のことを考える。
原因はベンダーの調査の結果を待つ必要があるが、脆弱性が絡んでいるのだろうか。少なくともネットワーク機器のバージョンアップは必要だろう。
バージョンは3か月に一回見直しをしているので、おそらくは最新に近いものが入っている。こちらの責任が追及されることはないだろう。

個人情報流出の疑いだが、従業員から部外秘の個人データがメールで送信されたと報告があった。
内部調査を行い、必要であれば監査部門にも通報することになる。

この3つのインシデントに全力で対応しなければならない。セックはそれぞれの最悪のシナリオを頭に浮かべ、被害を最小限に食い止める戦略を立てなければならなかった。

セックは各インシデントの主査を指名した。不審トラフィックの件はネットワークチームのベテラン、木村に。マルウェア侵入についてはセキュリティ技術者の大島、そして個人情報流出の疑いはコンプライアンス担当の王に一任することにした。

「各チームで最優先で原因の特定に当たってもらう。30分おきに進捗を上げてくれ」
セックが三人に指示を出すと、それぞれが了解して会議室から去っていった。

セック自身は、CEOに直接説明に向かう必要があった。この重大な事態を経営陣に的確に報告し、具体的な対策について指示を仰がなければならない。

CEO室に向かう途中でCEOである健太郎の姿が見えたが、健太郎の方から声をかけてきた
「どういうことだ。CISOの君から説明してくれ。」

セックは努めて冷静にインシデントの概要を説明し始めた。標的型攻撃、マルウェア侵入、個人情報流出の可能性など、現時点で判明している事実関係を一つ一つ伝えていった。

「...すでに対策チームを編成し、原因の特定と被害範囲の確認に着手しています」
セックがそう話し終えると、CEOの健太郎は表情を慎重にした。

「分かった。セック、被害を最小限に食い止めることが最優先課題だ。そのためには全社的なリソースを投入してでも構わない」
健太郎は強い口調で言い渡した。

「ただし、この件は取締役会にも速やかに報告し、外部への公表の有無も検討せねばならない。」

健太郎は深刻な表情で一呼吸おいて言った。

「最重要なのは顧客と株主の信頼を裏切らないことだ」

セックは頷いた。

「分かりました。特別監査チームの設置や、コンプライアンス調査、さらには第三者委員会の立ち上げも並行して準備を進めています」

健太郎は首を横に振った。

「それだけではまだ不十分だ。この程度のインシデントなら内部だけで処理すればいいが、事態が深刻であれば、警察や規制当局への通報も視野に入れる必要がある」

セックの体に冷や汗が伝った。警察や当局への通報となれば、組織にとって大きなダメージになりかねない。しかし、CEOの判断を覆すわけにもいかない。

「了解しました。インシデントの内容次第で、外部機関への報告も検討いたします」セックはそう答えるしかなかった。

一方で各チーム主査は、懸命にインシデントの解析に当たっていた。
雄二は外部からの不審なトラフィックの発信元を特定するべく、ログを徹底的に追っていた。
攻撃の足がかりとなったIPアドレスを掴めれば、被害は最小限に食い止められるはずだ。

大島もマルウェアの解析に熱を入れていた。そのマルウェアの挙動パターンから、侵入経路や活動内容を割り出せば、被害範囲の特定に繋がる。機密データの窃取被害があれば重大問題になる。

王は個人情報流出の疑いについて、メールサーバのログなどから漏洩の痕跡を探っていた。一度漏れた個人情報を完全に回収することは難しい。被害を最小限に食い止められるよう、全力を尽くす他なかった。

「頑張ってくれ」
と心の中でセックは祈った。

そんな中CEOの健太郎が近づいて言った。

「この事態を収拾するには全社的な取り組みが必要不可欠だ。
セック、人事部門と協力し、全従業員に対する緊急の情報セキュリティ教育を実施するよう手配してくれ」

セックは頷いた。

「分かりました。啓発活動の準備に取り掛かります」

不審な内部通信の増加や、マルウェア侵入の前兆を、早期に察知できていれば今回の事態は避けられたかもしれない。
従業員一人一人のセキュリティ意識を高める必要があった。

「また、今回の件で規制当局や株主から問い合わせが来た場合の広報対応の準備も怠ってはならない」

健太郎が続けた。

「事態が重大化すれば、社外に設置する第三者委員会に調査を委託する必要もあるだろう」

セックの肩に重たい重荷がのしかかった。規制当局への報告義務を怠れば処罰の可能性もある。

一方で社外に調査を委ねれば、内部の機密情報が外部に漏れかねない。
CEOの判断により最悪の事態に備える必要があった。

「承知いたしました。各種の対外報告に備え、対応準備を進めます」
セックはそう答えた。

その頃、各チーム主査たちもインシデントの解析を重ねていた。
それぞれが力を尽くし、被害の全容を一日も早く掴もうと必死だった。

だがセックは分かっていた。最悪の事態が現実のものとなれば、その責任は全て自分に問われるということを。

「この重大な事態を収束させるため、全従業員に対する緊急のセキュリティ教育を検討します。」
セックが言うと、健太郎はくぐもった表情で首を横に振った。

「教育だけでは不十分だ。セック、君には組織のセキュリティ統括者として、この件の最終責任があることを自覚しているか?」

セックの体に冷たい汗が伝った。健太郎の問いかけは正に核心を突いていた。
最高セキュリティ責任者としての職責、それが今問われているのだ。

「重々承知しています。インシデントの原因の特定と被害範囲の確認に全力を尽くしていますが...」
セックがそう答えると、健太郎は表情を一層、厳しくした。

「今さら事後の対応を語っても無駄だ。なぜ、こうしたインシデントを未然に防げなかったのか。
それこそが問われるべき本質的な問題ではないのか。」

健太郎の言葉は冷徹そのものだった。セキュリティ対策の抜本的な欠陥を指摘され、セックには言い返す言葉もなかった。

「この件で取締役会や株主から批判の声が上がることは避けられまい。おまえの職責が問われかねない」

確かに、この規模のインシデントでは、CISOである自分の責任が最も重い。セックにはそのことがよく分かっていた。組織を守る祭壇に自らを置いたのだから。

一方で各主査たちは、懸命にインシデントの真相解明に取り組んでいた。しかし、この事態を完全に収束させることができたとしても、セックへの責任追及は免れそうにない。