LINEヤフー様 インシデント対応訓練
〜インシデント経験から学び、必然性とカルチャーで訓練を推進〜
日本を代表するテックカンパニーであるLINEヤフー様に、弊社が提供する「インシデント対応訓練」をご採用いただき、2025年2月に様々な部門の方を対象とした訓練が実施されました。インシデント対応訓練に取り組む背景、効果などについてお伺いしてきました。
セキュリティに特化した人材育成部門によるリード
LINEヤフー様では、CISOを中心にセキュリティに責任を持つセキュリティ統括組織が設置されております。本組織の中に、「教育チーム」と「啓発チーム」で構成されたセキュリティに関するリテラシー向上を目的とした専門組織「教育部」があります。教育チームでは、教育コンテンツの企画・作成・実行を担い、啓発チームでは今回実施したインシデント対応訓練や標的型メール攻撃訓練、サイバー攻撃への対応力を磨くための実践型演習であるマイクロハードニングの実施に加え、広報部門とも連携し社内外に情報発信を行う役割を担っています。
業界内でもセキュリティリテラシーの向上を目的とした部門を設置している企業は非常に珍しく、セキュリティ対策への意識の高さを伺うことができます。今回のインシデント対応訓練では約40名の方が参加され、通算では200名を超える関係者が訓練を受けました。訓練を企画・運営する教育部の日野氏、今井氏にお話をお伺いしました。
部署: CISO管掌セキュリティ統括本部セキュリティマネジメント本部教育部
役職: 部長
役割: 2001年にヤフーに入社。2015年にセキュリティ部門に異動し、教育、プロモーションのマネジメントを行う。2021年よりZホールディングスに転籍し社内のセキュリティ全体のマネジメント業務に従事。2023年よりLINEヤフーのセキュリティマネジメント本部の教育部長に就任し、社内外のセキュリティ教育、啓発活動を推進。
部署: CISO管掌セキュリティ統括本部セキュリティマネジメント本部教育部
役割: 2005年にヤフーに入社。情報システム本部に配属され、全社員のリモートワーク環境整備支援やSlackの全社導入、ベトナムのオフショア開発拠点の構築などの企画業務を推進。2021年にCISO管掌に異動し、プロジェクトマネジメントに注力。インシデント対応訓練や全社教育、コンシューマー向け啓発サイトであるLINEヤフーセキュリティポータル(https://www.lycorp-security.jp/ja/)の開発とリリースを手掛け、社内外のセキュリティ啓発活動を推進。
過去のインシデントから学ぶ
- 2025年2月末に実施されたインシデント対応訓練では、セキュリティを担う部門以外にも、広報・カスタマーサービス・法務など様々な部門の方が参加されました。GSXコンサルタントが務めるファシリテーターからのシナリオごとの問いに対し、各部門の出席者が淀みなく自身の意見を述べていらっしゃった点に感銘を受けました。どのような背景があるのでしょうか?
日野氏)ヤフー時代も含め長い歴史の中で残念ながらセキュリティの事故が起きてきました。それらは苦い経験ではありますが、実体験から多くのことを学んでいることは間違いありません。また、経営のセキュリティへの意識がより一層高まることで、対策が一気呵成に進むという側面もあります。インシデント対応は総合格闘技とも言われており、様々な部門が連携することで対応が進行します。そのような背景もあり、LINEヤフーではセキュリティ部門以外の担当であっても意識高く、部門としての見解を持ち、判断・行動ができる状態を目指してインシデント対応訓練を実施しています。
経験を経験で終わらせることなく、経験から学び、次に活かすことができるかどうかは重要です。教育部ではインシデントの振り返りを行い、人材育成プログラムのアップデートなどに役立てています。
また、LINEヤフーでは今回のインシデント対応訓練以外にも標的型メール攻撃訓練・マイクロハードニングなどを継続して実施するなど、セキュリティ教育の拡充にも力を入れています。
訓練には様々な部門の方が参加され、ファシリテーターからの問いに対し闊達な議論が行われました。
インシデント対応訓練を実施する「必然性」と「カルチャー」
-インシデント対応訓練を継続的に実施する背景をお聞かせください。
今井氏)セキュリティ対策の強化に加えて、訓練の実施は法改正や規制に基づく社会的要請に対応しています。例えば、「経済安全保障推進法における特定社会基盤役務」では、情報セキュリティインシデント発生時の対応方針や体制の整備が求められています。また、「電気通信事業法の改正」では、個人情報や通信内容の管理が重要視されています。これらの法規制を踏まえ、従業員が訓練を通じて規定された手順やベストプラクティスに習熟することは極めて重要です。これにより、組織は法的責任を全うするだけでなく、信頼性を高めるための実践的能力を育成し、社会からの信用を向上させることができると考えています。
日野氏)LINEヤフーではお客様の大切なデータをお預かりしています。データの重要性、データが及ぼすビジネスインパクトについて強く認識しています。LINEアプリについては社会インフラとしての責任があります。また、「お客様を困らせるわけにはいかない」という強いカルチャーがあります。“お客様を守る”、“データを守る”責任がLINEヤフーにはあることを全社員が認識しています。
丁寧なコミュニケーションで関係部門を自分事化
-今回の訓練では全社で利用する中枢システムを取り上げ、「不正侵入による情報漏洩」「中枢システムで障害発生」「中枢システムの復旧」「ダークウェブへの掲載」「情報暴露」という5つのシナリオで議論が行われました。実施にあたりどのような工夫をされましたか?
日野氏)ビジネスの成長とともに、組織や人は変わっていきます。前述の通り、インシデント対応は総合格闘技です。様々な部門の横連携、各部門の役割に応じた的確な判断と対応が求められるため、各部門の連携が非常に重要になります。組織や人が変わっても適切な判断・行動ができることが求められ、インシデント対応訓練を通じ連携が取れるようなプログラムになっています。
今井氏)様々な部門を巻き込む際には、関係部門との合意形成を重視しています。具体的には、各部門が持つ情報資産の重要性やビジネスへの影響、または部門に求められる法令・ガイドラインの遵守事項について、丁寧にコミュニケーションを取ることを心掛けています。また、訓練シナリオは部門ごとに調整し、それぞれの環境に適した形で設計しています。例えば、部門が日常的に使用するシステムや情報資産をシナリオに組み込むことで、より現実的な状況を再現しています。これにより、参加者が訓練を“自分ごと化”して具体的に実感できるよう工夫を凝らしています。
日野氏)組織が統合や合併をすることで特定の事案に対し、ルールの解釈や見解がそれぞれ異なるケースもあります。そのため、訓練を通じてそのような点について投げかけを行うことで、気づきを与え、行動を促進することができます。
GSX森本)サイバーセキュリティは残念ながらディフェンスする側よりもオフェンスする側が強いことが実態です。サイバー攻撃を受けた際に、どのように対処するのかを事前の訓練を通じて学んでおくことが重要です。LINEヤフー様では、訓練のシナリオを組み立てる際に、社内ルールだけではなく、公共のガイドラインなども考慮して組み立てられている点は、他社に比べて特徴的と言えます。また参加者の積極性や感度という点で目を見張るものがあります。
各部門の代表者が部門としての見解をしっかりと述べていらっしゃいました。
「セキュリティ部門の当たり前」が「現場の当たり前」とは限らない
-訓練を通して得た学びをお聞かせください
日野氏)訓練を通して意識が高まり、多くの気づきを得ることができました。実施後にアンケートを集めており、可視化や数値化してウィークポイントを確認し、その結果を教育プログラムに反映するようなPDCAサイクルを効果的に回せるようになりました。また、データをフローで収集することで経年変化を把握し、不足している点を見つけて強化する取り組みにつなげています。アンケート結果では「実施してよかった」という肯定的な声が大半を占め、訓練の有用性を実感しています。継続的な訓練を通じて、サイバー攻撃被害がもたらす事業へのインパクトをサービスごとに伝え、インシデント発生時に即時対応できることの重要性について認識することにつながりました。
GSX藏谷)継続して訓練に取り組んでいることは特徴的です。定期的に訓練を実施できている企業は多くはないことが実態です。繰り返し実施することで訓練の精度も高まりますし、インシデント対応に関する「受講者の意識」や「実践力」が間違いなく高まっていきます。
今井氏)訓練を実施すると、セキュリティ部門や部門責任者が当たり前のこととして認識している事項が、現場では必ずしもそう認識されていないという意識の乖離が明らかになることがあります。また、平時には理解し対応できる内容であっても、緊急時の際には失念してしまうこともあります。教育を提供する我々にとってもこうした気づきは重要であり、これらの課題を改善するために、教育プログラムの見直しを慎重に進めています。
企業合併で組織が構成されていることにより生じる「違い」と難しさ
今井氏)合併前から、LINEとYahoo! JAPANのサービスには異なるカルチャーが存在しており、それに加えてサービスごとに異なるインシデント対応フローも存在していました。このような背景により、どこにどのような違いが生じているのかは、訓練を通じて具体的に明らかになることがあります。その違いを綿密に分析し、相互理解を深めながら、新たな共通の指針を築くことが求められます。
日野氏)各社で規程も違うことから、LINEヤフーとしてのスタンダードを定めるべく、規程の統合なども進めています。
GSX辻)成長を加速するためより一層M&Aが戦略的に活用されています。Fit/Gapを埋めるためのLINEヤフー様でもお持ちのような課題は、多くの企業様にとっても同様に課題であり、LINEヤフー様の取り組みから多くの示唆を得ることができます。
リアリティを追求する
-今後の展開についてお聞かせください。
日野氏)私たちはインシデント対応訓練を今後も継続して実施していきたいと考えています。さらに、より現実に即した訓練へと発展させていくことを検討しています。より現実に近いリアルな攻撃シナリオのもと、売上・利益・株価への影響を意識した対応や、記者会見の実施なども含めた包括的な訓練を通して、ビジネスとセキュリティの両面からバランスよく対応できる力を会社全体で高めていければと思います。また、生成AIなどの新しいテクノロジーの登場や事業環境の変化に伴い生じる新たな課題についても、関係者と協力しながらガイドライン整備などを進めていきたいと考えています。教育部では、セキュリティ対応の重要性について社員に伝えていく役割を担っており、教育を通じて重要インフラ提供者としての社会的責任を社員と共に果たしていければと思っています。
今井氏)今回、部門ごとの訓練を経て総合訓練を実施しました。多くの部門が参加し、多言語対応やステークホルダーの調整、各部署の合意形成、必要に応じた役員の招集など、細やかな準備を行いました。今後も、各サービスの情報レベルを考慮し、有事の際の経営への影響を踏まえて、参加者が当事者意識と高い解像度を持って取り組めるプログラム設計を進めてまいります。
インタビューを通じて、インシデントからの学びを経てあらゆる部門が意識高くサイバーセキュリティに対して取り組んでいらっしゃることがわかりました。中でも「訓練を実施することの必然性」と「カルチャー」に支えられていることが、訓練の実効性・有効性を高められているポイントと感じられます。
皆さまもご存じの通り、サイバー攻撃はもはや対岸の火事ではありません。いつ自身に厄災が降りかかってもおかしくないなか、日々様々な対策を講じていらっしゃるかと存じます。一方で「知っている」「準備できている」と「できる」の間には大きな差があります。やってみて初めてわかることも多くあります。インシデント対応訓練の実施を通じて、何ができて、何ができないのか、現実とのFit/Gapを明らかにし、より強固な対策へとアップグレードする機会としてご活用いただければ幸いです。GSXはこれまでのコンサルティング経験を活かし伴走しご支援いたします。
LINEヤフー様のWebサイトでもインシデント対応訓練の模様が公開されています。ぜひご覧ください。「サイバー攻撃に備える LINEヤフーの全社的セキュリティ訓練の裏側」
本記事のシェアはこちらから