実績がつなげる“対策の輪”
さらに踏み込んで辻氏は、「起きた事故についての情報を共有するだけでなく、『攻撃はあったが、こうした対策によって被害を食い止められた』といった内容を共有できれば、もっと良いだろう。特にファイルのパーミッションの設定変更のような、お金をかけずに実現でき、成功した対策事例こそ、広がってほしい」と述べた。
最後に辻氏は、自身が所属するソフトバンク・テクノロジーで発生した不正アクセスへの対応にも触れた。不正アクセスの発覚後、同社は原因や経緯などを説明したプレスリリースを公開している。「出さないのはあり得ない。また、出すなら出せるものは全部出そう、となった」(辻氏)。実際にインシデントに関する情報を出す立場になってみて、「自分でやってみて、上層部とのやり取りや社内のコミュニケーションが大事だと思った」という。
辻氏は、関係者の集まる最初のミーティングで、事態発生のきっかけを作った人とその責任者を名指しし、「気に病む必要はない、他にやるべきことはもっとある」と伝え、配慮したそうだ。
「『個人の問題ではなく、組織の問題』ということを明確にした。おかげで、当事者から対処に役立つ情報をどんどん発信してもらえた。もう一つ大事なのは、情報を展開する土壌が組織にあるかどうか、そして、上層部や現場に協力してもらえるようになっているかどうかということ。その意味で、今回は皆に協力してもらえてありがたかった」と、振り返った。
対処した辻氏が“気概を感じた”というのは、上司の振る舞いだ。「喫煙所でたまたま社長と一緒になり、『土日も来てくれるのか』と尋ねられ、『もちろんです』と答えた。すると、『よろしくお願いします』と頭を下げられた」(辻氏)
セキュリティインシデントへの対応を進めるのは人であり、技術だけではない――。このことがよく伝わる辻氏の逸話で、パネルディスカッションは幕を閉じた。