112万以上の口座を運営するというインターネット証券のカブドットコム証券(千代田区、従業員数141人、カブコム)は、Splunk Services Japan(千代田区)のサービスを活用。2年前に受けた分散型サービス妨害(DDoS)攻撃をきっかけにデータの可視化を進めている。9月6日に開催された「SplunkLive! Tokyo」でシステムリスク管理室長を務める石川陽一氏がいきさつや活用方法を説明した。
2016年からスマートフォンの履歴や時間計測サービス「Toggl」を活用し、さまざまなログを取得、蓄積。何かあれば調査できる体制を整えていた2017年6月29日、事件が発生。情報サイトと取引サイトにアクセスしづらい状況が約36分間継続したという。「脅迫メールは迷惑メールフォルダに届いており、発見は事件後。最初は何が起きているかすら把握できず、ただ“つながらない”という状況がわかるのみだった」(石川氏)と振り返る。
独立行政法人情報処理推進機(IPA)の「情報セキュリティ10大脅威2019」では6位にランクインしている(出典:カブコム)
システム障害の可能性も視野に社内のIT部門、社外のサービスプロバイダーなどが調査。約30分で復旧したというが、特定の組織に寄らずに日本の情報セキュリティ対策に取り組んでいるJPCERT コーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)では、事件発生直1カ月ほど前からDDoD攻撃を注意喚起。「5分くらいでとめることもできたかもしれない」(石川氏)と悔やむ。
また、事件発生時にSNSを活用した即座の情報発信では、必要以上に詳細な部分まで開示。解決後もフォロワーのなかで度々話題になってしまうほどだったという。
経済産業省所管の独立行政法人となる情報処理推進機構(Information-technology Promotion Agency:IPA)が策定するサイバーセキュリティ経営ガイドラインでは、経営者が認識すべき3原則として(1)経営者のリーダーシップ(2)自社だけなくビジネスパートナーなども含めたサプライチェーンのセキュリティ対策(3)平時も含めた適切なコミュニケーション、情報共有――の3点を掲げている。
石川陽一氏
石川氏は、三つ目の重要性とともにその難しさを強調。「システム障害と似た状況になり、IT部門もそれ以外も、全てが忙しくなる。事前の対策、どう行動するかの共有などでケアできた部分も多い」。6月29日を“DDoSの日”と設定し、再発の防止、そもそも“止まらない”という理想の状態を目指しているという。
2017年、NRIセキュアテクノロジーズ(千代田区)のアドバイスを受け、ログ監視、不正検知につなげるセキュリティ情報イベント管理(Security Information and Event Management:SIEM)としてSplunkの無償版を利用開始。セキュリティ対策をフルアウトソースするマネージドセキュリティサービス(MSS)で活用を始めたという。
また、平時からの適切なコミュニケーションを目指し、会社としてのマネジメント力強化に着手。徹底的に無駄を排除して生産力を向上させるというトヨタ自動車全社を貫く、「トヨタ生産方式(TPS)」の職場向けマネジメント理論「トヨタ流マネジメントシステム(TMS)」を採用。活性化して成果を生み出す「カブコムマネジメントシステム(KMS)」として活動に取り組んでいるという。