武田圭史

　情報セキュリティリスクマネジメントの講義に参加する。ＭＢＡで用いられるケースメソッドを用いたインシデント対応のディスカッションだ。受講者はあらかじめ用意されたケーススタディーを読み講義に備える。

　早朝、あるＥコマースサイトが突然アクセス不能に。
　
　そうした中、不審なメールが連続して届く。

　調査の結果、サイト上流のファイアウォールにＤＤｏＳのパケットが送られていることが判明。

　ＩＰをフィルタリングしてもゾンビが次から次へと発生する。

_{（実際の資料にはもっと詳細な記述がされている。）}

　受講者はこのEコマース企業のＣＩＳＯとして対応を求められる。「優先して対応しなくてはならない事項は何か？」、「顧客情報を保護するためにデータベースを切り離すべきか否か？」、「プレスへの対応は？」など。

　「顧客情報の保護を最優先にすべき。」

　「ログ取得のためにシステムの稼動は継続すべき。」

　「株価への影響もあるので情報の公開は慎重に行うべき。」

　「顧客の信頼を得るためには状況を逐次開示するべき。」

　「そもそもこれは委託先のデータセンターの責任範囲なのではないか。」

　　など、受講者はそれぞれが持つバックグラウンドから自論を展開する。

　　結局、侵入を示唆する証拠が発見されないため情報公開やデータベース隔離などのアクションは取らずに、さらに調査を進めることに。

　事前に配布されていない新たな資料が配られる。

　１時間弱アクセス不能の状態が続いた後で攻撃は停止、何事も無かったようにサービスは通常状態に復旧。

　再び受講者には、アクションが問われる。「とるべき安全措置は何か？」、「侵入の可能性は？」、「システムを再構築すべきか？」、「プレスへの発表内容は？」など。

　「調査結果を正確に公表し、事態に適切に対処していることをＰＲすべき。」

　「事後の再発防止が重要。」

　「今回を教訓にセキュリティ対策全体の見直しを行う。」

　「DoS攻撃を受けただけなのでシステムの再構築は不要。」

　あまり大きな議論もなく、発生した事実（サービスは停止したが侵入の形跡はない）を公表し、今後セキュリティ対策をしっかりやりますという発表を行うことで合意。

　最後の資料が配布される。

・・・

　がーん^※。皆の思いもよらない結末が・・・。

　ネタばれになるので、全部は書かないが、なかなか面白いディスカッションだった。
　今回のケーススタディは、講義の導入で、引き続き各意思決定におけるポイントなどが解説されることになる。

　これはまさに現場で常に発生している状況。

　こういう意思決定をリアルタイムで行っていくのは一筋縄ではいかず、さまざまなステークホルダーを考慮にいれなければならない。確率要素も多分に関わってくる。普通の企業ではこういった事態がいきなり無防備なところに発生するので、事前にこういう経験をして考え方のトレーニングしておくのは良いと思う。

_{※アメリカ人は「がーん」とは言わず、おっおーとか言う。}