2018年2月15日（木） 

「セキュリティ訓練、していますか？」

 サイボウズ株式会社
 グローバル開発本部 東京品質保証部 PSIRT　　大塚　由梨子

 
　「防災訓練」は一般的になり、あらゆる組織・家庭で実施されている。
いざという時のために、どのように防御し、いかに行動すべきかを組織内で検討し認識を合わせ、実行に移すまでを模擬演習することだ。火事・地震の訓練は多くの人が想定しやすいが、セキュリティインシデントとなると別だ。恐らく、防災訓練同様に実施できているという組織・人は少ないのではないだろうか。
 
　多くの人が「揺れたら机の下に隠れる」といった動きがすぐ出来るように、想定訓練をすることで初動が変わる。初動のスピード・正確さは、セキュリティインシデントにおいても非常に重要だ。とは言え、「セキュリティのこと詳しくない。訓練なんて..」そう思う人もいるかもしれない。では、地震が発生した時、"ついにXXプレートが動いたか。P波とS波の到達時間は.."などと考えている人はどのくらいいるだろうか。多くの人が、訓練で得た知識通りに、揺れたから火を消し、ただちに身を隠すというアクションを起こすだろう。
 
　セキュリティも同じで、事象に関して深く理解していなくても、最低限の動きをすることは可能だ。「携帯を落としたら？パスワードが漏えいしたら？」など、まずは身近なインシデントを想定することから始めてはどうだろうか。それにより危機感が生まれ、セキュリティへの意識が高まるかもしれないし、更には周囲の意識向上に繋がるかもしれない。全てを理解する必要はなく、出来ることから始めてみることが何より大切だと思う。
 
　しかしながら、どんなに訓練していても防げないものはある。特に、日々あらゆる攻撃手法が更新されているセキュリティの世界ではそれが顕著だ。だからこそ、リスクを最小限にするために、技術に明るくない人に対しても分かりやすくリスクを伝え、発生した時だけでなく事前に防ぐためには何をすべきかを共有し、行動に移してもらうことも重要となってくる。
 
　「家の鍵を落としたら？窓を開けたまま外出したら？」同様のことがシステムでも発生し得る。セキュリティとは、案外身近なものだ。一人一人が意識を持ち、周囲と話題に出すだけでも違ってくるだろう。
 
・インシデントを想定し、何をすべきかを検討する訓練をしてみよう
・インシデントの発生率が下がるよう、事象の前段階で防ぐ意識を持とう
 
　防災の日(9/1)は多くの組織が防災訓練を行うように、サイバーセキュリティ月間（2/1～3/18）にはセキュリティに関する情報共有や活動を行い、参加者の意識を向上するような取り組みが広く実施されるような世の中になることを願っている。
 

※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。