こんにちは、サイバーセキュリティ推進部の野溝(@nomizooone)です。普段はClassiサービスの脆弱性診断や顧客対応などを担当しています。
先日、Hardening Projectにより開催された/dev/hardening – Hardening Drivers Conference 2021 のセッション「CSIRTの受援力」にて、私を含むClassiサイバーセキュリティ推進部の3名がパネラーとしてお話をさせていただきました。
「Hardening Project」(ハードニングプロジェクト)とはウェブサイトの安全性を追求する技術の啓蒙と人材の育成や、技術の社会的認知の向上による健全なネット社会への進歩に貢献することを目的としたセキュリティ界隈の皆さんにはおなじみのコミュニティです。
インシデント情報公開が登壇のきっかけに
Classiは昨年度、大規模な個人情報漏えい事件をおこしてしまいました。そして、その件に関して、2021/5/11にあらためてお客様向けに精緻な情報公開を行いました。
セキュリティインシデントを起こしてしまった会社の報告というのは、様々な配慮や事情から、一般的にはぼかした表現になりがちです。
そんな中で、インシデントの発生から1年という時間を経て「判明している限りの情報を時系列で精緻に報告を行なった」という点で、Classiの業界への貢献を評価いただいたことがセッション登壇のきっかけになりました。
インシデントの情報公開や、普段からどのように備えておくべきかについて、Classiの他にもセキュリティベンダや保険会社の方も含めて90分ディスカッションしてきました。 アーカイブ動画の公開範囲はイベント(有料)の申込者の方に限られているので、この記事ではお話した内容をピックアップしてお伝えします。
テーマは「CSIRTの受援力」
みなさんは「受援力」(じゅえんりょく)という言葉をご存知でしょうか?
恥ずかしながら、私は今までこの言葉を知りませんでした。簡単にいうと「 "助けて" と言える力」だそうです。(特にセキュリティに限定した言葉というわけではなく、災害のときとかによく使う言葉みたいです)
また、CSIRT(シーサート)というのは、「Computer Security Incident Response Team」の略語で、名前の通り、セキュリティインシデントに関する報告を受け取り、調査などの対応活動を行う組織体のことです。社内のセキュリティ消防団みたいな感じですかね(組織によって位置付けは違うことがあります)
私はサイバーセキュリティ推進部という、セキュリティを専門に扱う部署に所属していますが、会社やサービスのセキュリティを守るためには、専門部隊である部署の中の力だけではなく、エンジニアや営業や法務や広報などなど…いろんな人達に助けてもらう必要があります。
そしてもちろん、社内だけではなく、社外の専門会社や関係機関との連携も会社としての対応をしていくためには欠かせません。
いざというとき、あるいは普段から、どのように周りを巻き込んで助けてもらいながら組織やプロダクトのセキュリティを高めていくか? 言葉にすると些細なことに感じますが、とても重要で深淵なテーマです。
己を知ることがセキュリティの第一歩
そのテーマに対して、インシデントの発生から対応を振り返ってセキュリティの受援力を発揮するためにまず必要なのは「自組織の弱い部分を把握すること」というお話をしました。
Classiでは、セキュリティアセスメントを事前に行い、組織として弱い部分を把握し、外部ベンダと支援のたてつけを合意しておいたことがいざというときのスムーズな対応につながったと分析しています。
セキュリティアセスメントとは、会社の中にどのようなセキュリティリスクが存在するのか調査して洗い出し、それぞれについて影響度を評価して、対応をきめていくことです。
保険の考え方と同じですが、たとえばリスクが発生する可能性は低いが、いざ発生すると損害が大きすぎて自社で対応しきれない、と想定される場合は、外部の専門業者にあらかじめ助けてもらえるように準備をして、いざというときに備えるなどの対応を行います。
自力に限界があることを認め、弱い部分を把握することではじめて、人に助けてもらう範囲を決めることができるってことですね。 そう考えるとアセスメントはとても大事です。
改めて振り返ると、昨年のセキュリティインシデントのときには、本当にさまざまな人に助けていただきました。ほんの一両日の間にグループ内を含めた社内関係者はもちろん、社外関係者の協力を仰ぐことができたのは、事前の準備と、協力範囲の設計の賜物だと言えると思います。
情報をいつどこまで公開するべきか問題
セキュリティインシデントの中でも、発生した事象が個人情報の情報漏えい事故である場合、その事故を起こしてしまった会社は、適切に情報公開することが求められます。 (2022年の個人情報保護法の改正で義務にもなりますね)
しかし、起こった事故の性質によっては、まだわからないことがあったり配慮して伝えないといけないことがあったりして、ぼかした報告をせざるをえないことが往々にしてあるのではないかと思います。
かくいうClassiでも、インシデント発生直後に行った報告では、事故の詳細を載せることができていませんでした。その時点ではっきりしていないこともありましたし、グループ会社やお客様である学校の先生方への影響などを心配したからです。
しかし、インシデント終息後このままで良いのか?本当に「お客様のために」なる情報公開とはどのようなものか? ということを考えて、議論を続けました。
約1年間かかりましたが、いったんこのインシデントにおいての結論として、前述の情報公開に踏み切ったという経緯です。
基本方針は「お客様本位、公明正大を前提としてお客様に利益を届ける」ことです。 目的は「お客様にこれからのClassiをより安心して使っていただくこと」で、あくまでお客様本位の情報公開が必要である、ということを強調してお伝えしました。
なんだかとても綺麗な話として綴ってしまいましたが、実際は1年の間、さまざまな方との意見交換や調整を続けたClassiのメンバーの泥臭い努力と、周りの理解があって実現したことです。
今回Classiとしてはこのような結論を出しましたが、当然、それぞれの会社の状況やご意見もあるので何でもかんでも透明にして情報公開を行えばいいかというと、そう簡単ではないことも多いと思います。
ただ今後、世の中で起きるセキュリティインシデントの情報公開が、少しでも利用者の利益になる方向に進むことを願っています。
おわりに
今回オンラインでの登壇だったので、時間や場所の制約なくたくさんの方に見ていただけて嬉しかったです。登壇中のチャット欄も盛り上がっていて、リアルイベントよりも参加者の方のワイガヤがダイレクトに伝わってきたのが印象的でした。
セキュリティはあまり正解といえるものがない分野ですが、他の視点を持った立場の方々とのディスカッションを通じて、みんなそれぞれ悩みながら先に進んでいることを知り、勇気をもらうことができました。 また、Classiは本当に色んな人に助けていただいて成り立っていると、あらためて実感する機会にもなりました。
今回のセキュリティインシデントに関しては、お客様向けの発信の他に当開発者ブログでエンジニア観点の発信も行っています。よろしければ併せてご覧いただけると嬉しいです。
最後に、私に貴重な機会をあたえてくださったHardeningProjectの皆様、インシデント対応にご協力いただいたClassiやほかの関係者の皆様に、この場を借りてお礼申し上げます。
本当にありがとうございました!