「子どもの無限の可能性を解き放ち、学びの形を進化させる」というミッションのもと、学校向けのSaaSビジネスを手掛けるClassi。ベネッセホールディングスとソフトバンクのジョイントベンチャーとして2014年に設立され、高校向けのサービスは現在、高校生の3人に1人が利用するまでに拡大している。
学校現場のさまざまなシーンで活用される教育プラットフォームを目指すなか、2020年4月、Classiは不正アクセスによりサービス停止を余儀なくされた。これを重く受け止めた同社は、迅速な初動対応を進めただけでなく、事故後も継続的かつ全社的なセキュリティ対策を実施。これらの取り組みの具体的な内容を、約1年後となる2021年5月に公表した。
事故発生後に対策方針を打ち出す企業は多いが、実際に行った対策の詳細なレポートまで公開するケースは珍しい。こうした姿勢が評価され、Classiは「第7回 情報セキュリティ事故対応アワード」で審査員長特別賞を受賞した。
なぜClassiは、徹底した事故対応を進めることができたのか。同社 代表取締役社長 加藤 理啓氏、代表取締役副社長 井上 寿士氏、サイバーセキュリティ推進部 部長 井浦 博人氏に聞いた。
迅速な対応の鍵は、各従業員が主体的に動く組織カルチャー
攻撃が発生したのは、2020年4月5日。日曜の昼過ぎだった。
サービス障害アラートを受け取った担当者がこれに気づいて簡易的な影響調査を開始したところ、攻撃者によるデータベースサーバへの侵入と不正操作を許してしまっていたことが発覚。自前で応急処置を行った後、サービス提供停止を決定し、当日の夕方には対策本部を立ち上げた。親会社への報告なども含め、当日は従業員一丸となって徹夜で対応にあたった。
日曜にもかかわらず事故発覚から対策本部設立までの流れがスムーズだが、これは事故対応の手順が事前に詳細まで詰められていたというよりも、皆が自分ごととして捉え、協力的に動いていく組織カルチャーが良い方向に働いた形だ。
加藤氏は「子どもたちの主体性を重視したサービスを提供しているため、エンジニアをはじめメンバー自身も主体性を重んじている人が多い」と話す。また、経営陣の判断が求められる重要な障害対応は過去に何度か経験していたため、経営判断も比較的迅速に進んだという。
攻撃者は、フィッシング攻撃によりGitHubの認証情報を得て、GitHub上に保存されていたAWSの認証情報を窃取。不正なサーバを作成し、データベースサーバへ不正アクセスしていた――。翌日には、各種ログなどの調査から、こうしたシナリオが浮かび上がってきた。
井浦氏はその後の対応について「まずはこの攻撃が成立しないよう多層的な対策を打つため、アプリケーションエンジニア、SREエンジニアなどそれぞれの持場のスペシャリストを割り当てたうえ、作業品質を担保するために外部ベンダーへも協力を要請した」と振り返る。
基本的な情報共有はSlackで行い、事故発生から2日間は数時間ごとにすべての情報を対策本部に持ち寄り、関係者への情報共有と進捗確認を実施した。ちょうど新型コロナウイルス感染症が拡大している時期だったため、リモートで参加するメンバーも多かったという。そして4月6日夜には一定の安全確保が行えたとの判断から、サービス復旧に至った。
その後ユーザーにはパスワード変更を呼びかけ、5月17日には未変更者のパスワード初期化を実施した。
いったん事態は落ち着いたように見えたものの、7月24日、善意の第三者から「海外の違法情報を取り扱うウェブフォーラム上に漏洩したデータらしきものが掲載されている」との連絡を受けた。外部協力会社とともに調査を行ったところ、同データは4月5日の侵入時に窃取されたものと認められたため、ユーザーへ改めて注意喚起をするとともに、状況についてコーポレートサイト上で説明した。
セキュリティ強化の取り組みとユーザーへの報告を継続的に実施
今回の事故対応において特筆すべき点は、即時対応のほか継続的なセキュリティ強化の対策も並行して行い、さらにその詳細を定期的に公表していたことだ。加藤氏はその理由について「起こったことを可能な限り早くお伝えすることで、少しでもご不安を解消したい。できるだけ透明性を高めようと、タイムリーに情報共有するよう心がけた」と説明する。
井浦氏によると、「セキュリティ抜本対策」と銘打ったプロジェクトを立ち上げ、NISTのサイバーセキュリティフレームワークなどを参考に攻撃時の侵攻プロセスをマッピングし、今回の攻撃プロセスに関しての対策が不十分な事項に対して難易度やコスト、効果の面から優先順位を定めて、外部委託メンバーや外部専門家などの協力を得ながら順次セキュリティ強化に取り組んでいったという。
結果として、外部企業による第三者調査では、他社と比較して標準水準以上にまで対策強化できているとの評価が得られたほか、下記2つのカテゴリそれぞれに対して、2021年3月の継続審査にて有効性を確認している。
- 情報セキュリティマネジメントシステム(ISMS): ISO/IEC27017
- クラウド・セキュリティの外部認証: ISO/IEC27001
そして2021年5月11日には、今回の不正アクセスに関する最終版のレポートを発表した。本レポートの作成にあたっては、下記の2つの項目がガイドラインに盛り込まれていた。
- お客様第一・オープネスを前提とし、お客様がご自身でもリスク低減のアクションを取っていただけるよう情報を提供する。
- その際、お客様の不利益になるような情報公開はしない。
事故対応としては、どの情報を開示するか、どこまで詳細に説明すべきかの判断が難しいポイントとなるが、Classiの判断基準は、上記のガイドラインにあるとおり「ユーザーのためになるかどうか」という至ってシンプルなものだった。
事業者にとってのメリット・デメリットを考えるのではなく、ユーザーにとってプラスになること、マイナスにならないことであれば、なるべく情報を伝えるという方針をとった。
「公表したのもその一環。対象者には個別に報告していたが、リーチできない方がいらっしゃることも考えると、少しでも伝える手段を多く持っておきたいという判断だった。最終版の公表は関係各所との調整などもあり結果として事故から1年後となったが、メンバーのなかでは、オープンなインターネット上でユーザーを含むすべての人に広くお伝えすることが必要だという共通意識をずっと持っていた」(加藤氏)
ルールだけでなく、人と組織カルチャーをつくる
最終版のレポート公表まで1年以上に渡って取り組んだ事故対応を振り返り、加藤氏は3つの教訓をあげた。
1つは、迅速に動けるよう、実際の事故を想定して判断基準を明確にしておくこと。
2つめは、組織カルチャーづくりの重要性。今回は、「自分が原因かもしれない」とメンバーが申し出たことにより、早期に攻撃を発見することができた。「日々の業務で起こるヒヤリハットを報告しやすい環境づくりによって、発見性を高めることが大切」と加藤氏は語る。事故後には、経営陣も含め従業員が業務を行ううえで大切にすべき心構えや姿勢について明文化した「ピープルマネジメントポリシー」を策定した。
3つめは、ユーザーを第一に考えることの大切さ。加藤氏は「企業としてお伝えしなくては、という想いとこれ以上ご迷惑をおかけしてはならない、という躊躇との葛藤もあった」と明かしながらも、「お客さまを守るためには何が大事なのか考えて優先順位を決めたことで、今回のような対応を実現できた」と考察する。
今回の事故対応をきっかけに、Classiは現在もセキュリティ強化に向けた活動を継続している。井上氏は「お客さまにはご迷惑をおかけしてしまい、起こした責任は大きいと捉えている。模範となる人やカルチャーをつくり、社会やお客さまに対して経営で示していかなければならない。これは、ルールをつくるだけでは実現できない。地道に取り組んでいく必要がある」と、経営陣も含めた全社的な取り組みであることを説明する。
「学びに関連する事業を行うClassiとしては、私たち自身も関わってくださった方からのお声を含めた全ての経験から学ぼうとする姿勢を持ちたいと考えている」と加藤氏はいう。今回の事故対応に関して広く情報公開したのは、誰かの学びにつながればよいという考えもあったためだ。自社のセキュリティ対策や組織体制・カルチャーを見直すにあたって、ぜひ今回の事例を良き学びの機会としてほしい。