「セキュリティ侵害への対処に際して,経営陣は平常心かつ明るい気持ちで,社員に接してほしい」。カカクコムの田中実社長(写真)は2009年9月3日,東京ビッグサイトで開催されている「Security Solution 2009」の基調講演に登壇し,同社の生命線である「価格.com」が不正アクセス攻撃を受けてから復旧するまでの11日間で得た教訓を明かした。
価格比較サイトの「価格.com」を運営するカカクコムは,2005年5月にメール・アドレスなどを奪われる不正アクセス攻撃を受けた。田中氏ら経営陣は「原因究明と対策を施しながら通常業務を続けるのは人員リソースが足りず不可能」と判断。サイトを一時閉鎖し,対処すべき要素を社長,CFO,営業担当,システム担当の役員4人に割り振って復旧に当たった。当時CFOの立場にあった田中氏は,警察や関係省庁への対応,マスコミ対応に奔走。「計算上,サイト閉鎖が5カ月に及べば運転資金が尽きる状態だった」と振り返る。
警察への対応で得た教訓としては「自社が属している業種で,危機発生時に相談する担当部署を把握しておく」ことだという。「最初に相談した部署では事件として把握してもらえず,改めてハイテク犯罪の部署に相談したところ『被害に遭ったサーバーを持ってきてください』と言われ対応してもらえた。(最初から担当部署に相談していれば)不正アクセスの被害届の受理まで無駄な時間を取らずに済んだはず」と振り返る。
関連省庁への対応は「対処に割くリソースを必要最小限に抑える」姿勢で臨んだ。「総務省からは『早期の復旧をお願いします』と“励まし”に近い言葉を受けるだけで済んだが,消費者保護の観点を持つ経済産業省のヒアリングは長時間にわたる厳しいものだった」。人員リソースが限られる中,早期復旧に尽力したかった田中氏。法令に基づく義務がないことを担当者に確認したうえで,2回目の折衝には顧問弁護士2名を同席させて臨み,事を収束させたという。
関係各所と折衝を進める際の教訓として,「1人だけで事に当たってはいけない。必ず別の社員を同行させるべき」と田中氏は訴える。この教訓は,東京証券取引所との交渉の過程で得た。決算公告の遅延を申し出て1カ月の猶予を与えられたものの「期限を過ぎれば『監理ポストに入れます』と告知された。気が動転したのだろう。帰社途中に,一瞬(上場廃止が決定的な)“整理ポスト入り”と言われたように錯覚してしまった。結局,同席した社員と東証での会話を確認し,正気を取り戻した」というエピソードに基づくものだ。
細心の注意を払ったのは,マスコミ対応だ。CFOという立場上,経済・金融記者とは接する機会があった。だが,そのときのトラブルで応対したテレビ局や新聞の社会部記者とは距離があった。「普段使っている経済用語はおそらく通じない。言葉を選び,丁寧に,慎重に対応することを心がけた。想定問答集は内部で作成したものの,外部の専門家や弁護士の意見を聞いた」。
罹災経験で冷静に,テレビ取材をカンフル剤として利用
社外への対処を進める一方で,社内でも復旧作業に取り組んだ。経営陣としての立場から田中氏が「1番大事」と強調したのは,「明るい気持ちで社員に接すること」だ。正常に復旧するには,社員に頑張ってもらい,ユーザーの信頼を回復するしか道はない。そのために必要なのは,社員の士気を維持する経営陣としての「立ち振る舞い」と,経営陣にしかできない「決断」だ。
サイト復旧までの11日間,田中氏は冷静だったと振り返る。「(銀行に勤務していた1999年に)台北で台湾大地震の被害に遭遇した経験からすれば,不適切な表現かもしれないが(不正アクセスで)命を失うわけではない。そう自分に言い聞かせて,前向きな気持ちで社員と接していた」。
冷静さを保つ一方で,田中氏は異例とも言える決断を下した。復旧作業に忙殺される真っ最中に,テレビ局の取材クルーを受け入れたのだ。「カメラが入れば社員のミスを最小限に抑えられるのではないかと踏んだからだ。社員の士気を維持するための,いわば“劇薬”だった」。このときの取材内容はテレビ東京の「ガイアの夜明け サイバー攻撃との闘い」として2005年7月に放映され,今では「見返したくなるものではないが,カカクコムにとって新人研修などで使える貴重な教材となっている」という。
このときの映像を教材として使う価値は,カカクコムのDNAに「セキュリティ対応がルーチン・ワークであること」を埋め込むことにあると田中氏は語る。ここでいうセキュリティは,情報セキュリティに限らない。情報セキュリティは攻撃・防御の双方で日々進化し,コンプライアンスは根拠となる法令が日々変わる。潜在リスクは増える一方のはず,と田中氏は考える。
現在のカカクコムでは,午前10時までに新聞,ネット,テレビのニュース,および官報から潜在リスクを洗い出す業務を日課としている。「サイトに掲載する商品やサービスで安全性不安などの報道があれば,安心・安全が確認されるまで検索インデックスから削除する。自動化している競合サイトがほとんどだが,あえて人手を介在させている」。社員の意識改革とユーザーの信頼維持を両立させているわけだ。
最後に田中社長は,「セキュリティに通じていても,会社の存亡にかかわるほどの事件を経験したことがある方は少ないはず。そういう事件に際した場合は,強い気持ちで事に当たってほしい」と来場者に呼びかけて講演を締めくくった。
