サイバー攻撃、システム障害で心が折れないために―２
「当事者のことばから伝わるもの」

これまで、縁あって、つるぎ町立半田病院、大阪府急性期・総合医療センター、株式会社関通等、サイバー攻撃やシステム障害で大きな影響を受けた組織の方にお話を伺ってきました。サイバー攻撃の被害に遭った組織といっても、その中には、直接復旧の指揮を執られた方、関係者との調整に奔走された方、不便な中で自分の職務を全うするために様々な工夫を凝らした方もいます。その方々を信じた地域の方々もいます。今回のコラムでは、これまでお会いした方々の「当事者のことば」について触れてみたいと思います。

１．「リーダーは帰るな」
この言葉だけを切り取れば、労務管理上は問題かもしれません。しかし、この言葉の意図は、リーダーに現場に24時間居ろということではなく、組織の方針とその中でのリーダーの役割が明確であり、必要な情報が適切に組織内で共有できていなければならないということではないかと思います。
リーダーの役割は、代行者への引継ぎを含めて途切れることなく機能しなければならない」というのが、「リーダーは帰るな」の言葉が求めるものではないでしょうか。

２．「誰もが強いわけではない」
未経験の事態、繁忙を極める業務、システムのない不自由さ、それらが重なり、心身の限界を迎えた職員について、トップはこう語りました。そして、担当者が一時的に孤立しかけたことについても「一人にしてしまった、これではいけない」と振り返ります。
セキュリティ対策の強さ、担当者のスキルの高さに目が向きがちなところで、「強くなさ」と向き合うことの大事さに気づかされた一言でした。

この言葉を聞いたとき、同時に、あえて「明るく前向きでいた」というリーダー像にも出会いました。

３．「それでも、ここでやらなくちゃいけない」「ここで、やるだけ」
これは、システム停止の中、通常の業務を続けようと奮闘した人の言葉です。組織内で情報が共有され、BCP体制の発動が決まると、現場で働く人たちは、今できることを探しその質を上げようとします。紙しか使えないなら、書類の書き方を調整し、連絡にタイムラグができるならと災害用の情報共有ツールを活用する。非常に苦しい中での言葉ではありますが、日ごろの訓練や、BCP体制での情報共有の成果が表れた一瞬ではないかと思います。

４．「なんか分からんけど、たいへんみたいやから」（何か分からないけど、大変なことが起こったみたいだ）
ある組織の場合は、被害を知ったすぐ後から、近隣の方々からの差し入れが届きました。
業務用のシステムが使えない中で、手元にあった情報を集めて持ってきた方や、余っているコンピュータの提供の申し出もあったそうです。のちに、その組織の責任者は、「地域の人が温かかった、ずいぶんと支えられた」と振り返っています。
サイバー攻撃の被害では、システムの復旧と業務の再開までが注目されるのが大半ですが、ステークホルダーとの関係性の維持と回復もまた、重要な復旧プロセスともいえます。
その意味では、内外でも多くの被害組織が復旧途上にあると言えるかもしれません。

５．「伝える責任がある」
この言葉は、サイバー攻撃の被害を公表した複数の組織から聞いたことがあります。
サイバー攻撃を受けた組織でも、実際は多くの人が日常の業務を続けようと尽力し、様々な工夫をこらし、業務の改善を試みます。何もできないのでは・・・から何ができるか？に変わり、やがては、こうすればもっとできる！と様々な取り組みが生まれます。
ある組織は、業務に関連した専門誌にも当時の体験や、業務上の工夫・改善点等を寄せ、帳票の見直しの具体例まで公開しました。これまで、サイバー攻撃の被害が悲惨さ、原因調査、システム復旧までの取り組みを中心に語られてきた中で、業務部門の取り組みが発信されたのは、これまで類のなかったことです。発信は、IT分野以外にも当然ながら届くこととなり、同じ業種の間で参考にされています。

６．「我々が欲しいのは調査結果ではなく、復旧」
ランサムウェアの被害を受けた企業のトップは、はっきりと打ち出しました。ただちに復旧の資金を調達し、全てのPCの入れ替えを決断。「ダウンタイムを最小にすること」が攻撃の無力化だと宣言し、社員に自ら状況を説き、保険金の払い出しを交渉し、専門家とマッチングを繰り返して事態を打開していく様子が、経営者から語られるのは貴重な機会であり、これまでのランサムウェア被害の体験談と比べて異色。しかし、情報システムの責任者の責任を問うことをせず、全て背負う覚悟をした経営者だからこそできた決断。それを自ら語るからこそ、説得力が増した言葉でもありました。

７．「メンタルケアってだいじだよね」
サイバー攻撃や大規模システム障害に直面した「人」へのケアは、これまで日本では、あまり注目されてきませんでした。しかし、ある事例ではスタッフに対して発生後早期からメンタルケアの研修を行い、カウンセリングを導入したことで、退職者の増加がみられなかったそうです。また、2024年度のNCA Annual Conferenceでも、特別講演、公募演題の両方でサイバー攻撃とスタッフのストレスケアが取り上げられました。
２の「誰もが強いわけではない」にもつながりますが、強くなくても乗り切れるのも一つの目標にしてよいと思います。

さて、ここまでで、７つの言葉を紹介してきました。
様々な仕事がITと関わりをもち、情報システム担当者やセキュリティ担当者は、これまで想像していなかった事態に直面することも珍しくなくなりました。ランサムウェア、AIの悪用、人の不正、挙げればきりがありません。紹介したのは、あくまで一例で、他にも多くの生々しい言葉が現場では飛び交っている筈です。

今回のテーマを選んだ理由の一つは、日頃、システムに目を配らなければならないからこそ、当事者のことばにも耳を傾けなければとの自戒でした。実際、インシデント対応のみにフォーカスしたトレーニングに参加したときの、業務部門を置き去りにしたような違和感や、IT系メディアでは語られることが少ない「被害組織の業務部門の苦しさ」を少しでも共有してほしいとの思いもありました。そこで、締めくくりに、もうひとつ、こんな言葉をかけられるのは情シス冥利につきると思いつつ、こんな言葉を聞く機会がないこともまた情シス冥利ともいえる一節を紹介して、締めくくりにしたいと思います。

「システムが復旧して、データが表示されたときは、ありがたくて思わず涙が出たよ」

※本コラムは個人の意見であり、所属組織の見解ではないことを付記いたします。