セキュリティは「技術力+α」で決まる――組織間の距離を縮める大切さが分かったセキュリティ・アディッショナルタイム(20)(2/2 ページ)

» 2018年01月25日 05時00分 公開
[高橋睦美@IT]
前のページへ 1|2       

互いの姿を見て「漏えいが起きるといかにドタバタするか」を実感

 Yahoo! JAPAN Hardeningでは、メディア対応、カスタマー対応も競技の重要な要素になっている。普段広報としてメディア対応に当たる社員の一部が記者役となり、カスタマーサポートセンターやリスク管理室で顧客からの問い合わせに当たる社員の一部がユーザー役になった。それぞれ普段の業務経験を生かして迫真の演技でチームに対応を求める。例えば、自分の情報が漏えいしてしまったと知ったユーザーからの問い合わせは、こんな具合だ。

 「実際、掲示板に私の情報が張り付けられているんですけれど、どういうことですか。それに、さっき調査して回答するって言ったのに全然連絡がないじゃないですか……それはそっちの事情でしょう? こっちは漏れた情報が悪用されないか心配なんですよ。いつまでに明確な回答がもらえるのか、ちゃんと教えてください!」

 かと思えば、今度はマスメディアがこんな風に迫ってくる。「さっきは漏れていないっていってましたけれど、違うんですか。顧客への告知も一切ありませんよね。どういうことですか? おわびはどうするんですか? え、決まっていない?」

 競技の終盤、問い合わせへの回答が全くないことに業を煮やし、実際に隣の部屋に足を運んで回答を迫る、という一幕もあった。

 エンジニアは、すぐ隣で汗をかきながら電話対応に当たる顧客担当や広報担当の姿を目にした。顧客担当は飲み物にも手を付けずログ確認やバックアップ、設定変更に取り組むエンジニアの姿を見た。互いに「情報漏えいが起きるといかに大変か、どれだけバタバタするかが身に染みてわかった」と述べていた。

 顧客を演じた社員によると「実際のインシデントでは、ほんの小さな一言や、ほんのささいなタイミングのずれだけで炎上してしまうこともある」という。言葉で「顧客第一」というのは簡単だが、実際に相手の立場に寄り添った対応を進めるのがいかに難しいかが分かる。

 何よりまずいのは、良かれと思って、不確定な状況が続いている中、何かを断言してしまうことだ。意図しなくても「うそ」をついたことになり、事態を悪化させる恐れがある。そうした事態を避けるため、何が起こったかを示す記録やドキュメント類を残すことや、時には勇気を持って「分からない」と明言することの重要性も、痛感したようだ。あるチームは「問い合わせに対し、『記録がないので分かりません、すみません』というのは本当に辛かった。何が起きたか、情報がないと何もできない。実際の業務ではこうならないようにしたい」と振り返っていた。

部署をまたいだ協業が、セキュリティに限らず「企業力」の源泉に

 Yahoo! JAPAN Hardening 2017では、評価に複数の軸を加味した。売り上げの他、技術対応や顧客対応、メディア対応、サービスマネジメントが対象となった。最優秀賞を受賞したのは、ヤフー データ&サイエンスソリューション統括本部のメンバーを軸とする「データ守り隊」だ。同チームは「CS賞」「広報賞」も受賞しており、情報漏えい発生時に根拠に基づいた丁寧な説明を行い、いち早くFAQを用意して公開した対応が総合的に評価された。メンバーの1人は「普段からなるべくお客さまに寄り添う対応を意識しており、(今回の受賞で)より自信が持てた」と述べている。

ヤフー データ&サイエンスソリューション統括本部のメンバーを軸とする「データ守り隊」

 今回の企画運営に当たったヤフー CISO室セキュリティ推進室の太田俊明氏は、本家のHardening同様「リアリティ」を追求するとともに、「協業」「企業責任」が大きなテーマになっていると述べた。

ヤフー CISO室セキュリティ推進室の太田俊明氏

 今やグループ全体で見ると1万人を超える従業員がいるヤフー。残念ながら、組織規模が拡大するにつれ、一般に風通しの良さが失われる。「会社が大きくなると部門間の距離も広がる。メールでのコミュニケーションだけでは、『何でこれを調べてくれないの?』といった具合に、相手の状況が分からないし、ニュアンスも伝わらない。このように組織の距離が離れると、パフォーマンスが出ないことがある」(太田氏)。自分が担当する業務やサービスにばかり目が行き、外から見た「会社全体」という視野が失われがちだ。

 そこで今回の取り組みでは、普段、別々の部署で働いているエンジニアや企画担当、カスタマーサービス、広報といった社員が1つのチームとして問題に取り組むようにした。「距離感を縮め、一体となってサービスをリリースすることが大事。みんなで取り組むことが、セキュリティに限らず『企業力』の根底になる」(太田氏)

 チーフインフォメーションセキュリティオフィサー(CISO)の仲原英之氏は、「今回、大丈夫だったから次も大丈夫とは限らない。次に何が起こるか分からない中で対応しなければならず、その際にはチーム力、組織力が問われる。われわれはこれからも組織力を高め、会社全体で対応しなければいけない。さまざまな職種のメンバーが1つの机を囲んで事象に対処する中でコミュニケーションに苦労したかもしれないが、だからこそ、日頃から互いに信頼関係を築くことの大切さが分かったと思う」と講評を述べ、今回の取り組みで失敗した経験と当事者意識を持ち帰ってほしいと呼び掛けていた。

 その効果は得られたようだ。前回に続き、今回もSoftening Dayでは「他の職種がどんなことをしているのか、普段は見えない裏側が見えた」「情報を共有し、技術と企画、広報、カスタマーサービスが連携することでチーム力が上がると痛感した」「部門の違いを痛感したし、だからこそコミュニケーションが重要だと感じた。『もし重大なインシデントが起きたらどうするか』を持ち帰って考え続けたい」という前向きな振り返りの声が挙がっていた。

 とはいえ、それも体験したのはヤフーグループ全体で1万人を超えるうちの81人にすぎない。太田氏は「攻撃側が圧倒的に有利なこの時代においてセキュリティはみんなの力がないと解決できない。みんなでやらないと戦えない時代」と述べ、Hardeningで得たリアリティをそれぞれの部署に持ち帰り、伝えてほしいと述べた。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。