サイバー攻撃・システム障害で心が折れないために－第2章へ

１．出会い～本当の端緒
これまで、コラムでは途中１，２回の脱線はあるものの、匿名のものも含めて、一貫してセキュリティに関するテーマを取り上げてきました。その中でもテーマの中心となっているのは「システム障害、サイバー攻撃に対応する組織」です。今回は、このテーマに出会うきっかけと、これからを書いてきたコラムを交えて紹介させてください。

最初の1回は、きっかけとなった出来事がありました。宇陀市立病院のランサムウェア被害事案（2018年）で、担当者がその後に入水。その報せを受けて、私は「絶対に2人目を出さない、絶対2人目にはならない」と強く思いました。そんな時に出会ったのが、「システムが止まったその後どうするの？～思考訓練ノススメ」に書いたTTXであり、「いい大人が酔った勢いで大学に行くもんじゃない（振り返ると怖い幸運な話）！！！」に書いた大学のリカレント教育でした。その中でサイバー攻撃の被害を出さないだけでなく、万一被害に遭ってもシステム以外のダメージを最小限にしなければと、考えるようになりました。

しかし、これらの取組の中でも、どうしても解決できない疑問が私の中に残っていました。
「セキュリティ対策も、セキュリティチームの運営も、強くなることを求めている、それは間違ってはいない、でも、そこに至れない弱さも現実には存在する。弱さとの向き合い方が必要では？」。その答えを探し始め、2023年12月のコラムで初めて、「システム障害・サイバー攻撃で心が折れないために」というコラム書き、サイバー攻撃被害からの復旧までの職場環境について取り上げました。

そして迎えた2023年12月のAnnual Conference。受付に置かれたホワイトボードには「ライトニングトーク募集」の文字。そこで「Stay Healthyなインシデント対応」とタイトルをつけて、ランサムウェア被害に遭った病院に設けられた休憩スペースや、「一人にしない」ということ、被害企業の社員食堂のことを取り上げました。もっとも、この時はまだ、何か、少し変わったテーマでインシデント対応にアプローチしてみようというだけの浅い理由だったかもしれません。スタートが今一つ格好よくないのは、酔った勢いでセキュリティのリカレント教育を選んだ時と同様に、サイバーセキュリティとの関わりの中では一貫しているようです（ある意味ブレない）。

２．試してみる～未来の同志へ
2024年の日本シーサート協議会　Annual Conference、まさか採用されるとも思わず、「StayHealthyなインシデント対応２」として、昨年のライトニングトークを15分版にアップデートし応募しました。

迎えた当日、発表の中で1年前のコラムを紹介したところ、会場の方にも読んでいただくことができました。また、後日の動画公開も見越してその場で、はっきりと言い切りました「今、ここで聴かなくてもいいから、後で動画を見て欲しい」と。というのも、当日の参加者数を気にするよりも、大阪急性期・総合医療センターの調査報告書に書かれた職員のケア、ある被害組織のトップが語った「誰もが強いわけじゃない」という一言を伝え、セキュリティチームが貴重なメンバーを失わないようにしてほしい、失わないようにしたいと願うほうが数倍強かったからです。

このカンファレンスで、大きなターニングポイントにつながる出会いがありました。特別講演の講師の言葉と講師の体験が、私の背中を押したのです。「サイバーのストレスはアメリカではトラウマとして認められない」、「セキュリティリーダーの多くが強いストレスにさらされ、離脱を考えている」のだと。救いのなさを感じつつも、ここでまた、いつものように格好悪く「そんなん、サイバー攻撃がやたらとくる前の基準なんか知るか～！」と心の中で叫び、講演終了後に知人の紹介もあって、講師の元に駆け寄りました。

話ができたのはわずかな時間でしたが、自分にできることを探そう、「強くなくてもインシデント対応を乗り切るための、その瞬間に「人とチームの支え方を探そう」とのアイデアにたどり着きました。幸い、私自身は医療機関の職員であり、ランサムウェア被害にあった医療機関のＢＣＰが災害医療を土台にしているとの認識もあり、消防や救急分野から得られるものがないか探し始めてもいました。私生活のパートナーが社会保険労務士の資格を持っていたことも、プラスに働きました。

そして、この続編を必ず、次のカンファレンスで形にしようと決めました。
ちなみに、その時の講師との縁は次の章に・・・。

３．計算違いと同志と私の軸
2025年9月、日本シーサート協議会のAnnual Conference2025 の募集が始まり、昨年のテーマの第2章として、「国破在山河～システム破れて『も』組織あり」とタイトルをつけて30分の講演に応募しました。消防の事例からの考察、アメリカの疾病分類のこと、トラウマの研究の歴史の日米比較等をスライドに追加し、30分でもギリギリかな？と思う内容が出来つつありました。ちなみに、なぜ『も』なのか？それは、システムに何かあってもユーザーはいる、通常通り業務を遂行しようとする人がいる、勤怠処理や調達は日々発生するからです。

すると・・・届いた採択の打診は何と、2時間の分野別討論会！夕方の職場でメールを開き思わずのけぞりました。しかし、4倍に伸びた時間はためらう理由にはならないと思いました。ここまで、どこか格好よくないままセキュリティに取り組んできた以上、このぐらいはあり得るとも思いました（ほんまに？）。というのも、日本シーサート協議会でも近いテーマへの取組が始まりつつあることを知らされ、また、参加者の意見を募ってまとめ、持ち帰っていただくことで、勤務先での環境改善につながるかもしれないという新たな動機も見つかったからです（切替えは超早い）。その後、座長とオンライン打合せやメールのやりとりを重ね、2時間で7つのテーマについて参加者と意見交換を行うセッションが出来上がりました。

さて、会場へ・・・と、いきたいところですが、その前に２つの大きな出会いが待ち受けていました。１つは、前日の夜に医療機関のセキュリティ、IT担当者向けの勉強会に講師として招いていただきました。ちょっとマニアックな内容だったものの、BCPの話も交えて深夜の打ち上げまで盛り上がり、勉強会の参加者の方もセッションにも何人か参加してもらえることに。

もう１つは、昨年の特別講演の講師と色々な話をする機会を得たこと。共通の知人を介してカンファレンス会場近くでランチを一緒にいただくことになり、（極厚の高級ローストビーフに驚きながら）、それぞれの来歴、思いを語りました。同じ危機感を持った未来の同志との出会いの瞬間でした。「定義がどうであれ、サイバー攻撃の対応で傷つく人はいるのだから、それを防ぎ、支える必要はある」この思いが自分だけのものではないと体感した瞬間でした。

迎えたセッションは、前日の勉強会から参加したメンバーが（IT分野的に）大暴れしてくれたこともあり、7つの課題はあっという間に埋めつくされ、休暇や、生活必需品の支援、通勤手段の柔軟な運用等、企業ならば福利厚生の運用の緩和や、取引先との連携で現実の制度にできそうな意見も見出せました。もっとも、大暴れのおかげで、後からまとめるのはかなり大変でしたが・・・（やっぱりどこか格好よくない）。

この3年間の取組は、冒頭に書いた「絶対に2人目を出さない、絶対2人目にはならない」ためには、たとえ強くなれなくても、強くないことを知り、自分一人の強さではなく、自分を取り囲む周囲の強さも力に変えることが大事なのだと、改めて知ることに繋がり、「組織のシステムを守るために、そこにいる人を支える」という私自身の軸の再確認の時間にもなりました。

今後、このテーマはまだまだ、取り組みを続けるつもりです。そして、これから始まるだろう新たな場でも、折に触れて、分野別討論会のテーマだった「ひとのレディネスとレジリエンス」を伝えていこうと思っています。