新型コロナウイルスへの対応に見る意思決定の難しさ

こんにちは。

　この記事を書いている2月28日現在、多くの人の命に直結する新型コロナウイルス（COVID-19）の話題が連日報道されています。日本の新型コロナウイルスに対する対応は、日本国内だけでなく、世界中から注目が集まっています。テレビを見ていると、この新型コロナウイルス対策において、特に初動対応について識者によるさまざまな意見が交わされ、議論を呼んでいます。その是非はこのブログでは取り上げませんが、なぜ、こういったクライシスマネジメントにおける意思決定が"現実的"に難しいかを、セキュリティインシデント対応の経験から考察し、数回にわけてお伝えします。

　なお、私が普段戦っているコンピュータウイルスの被害は、人命に直結する重大さや、対策の社会的影響の大きさなどから、新型コロナウイルスの対応とは同列に語ることは出来ないと思っています。ただ渦中に置かれた組織の、担当者や責任者の意思決定の難しさに、少し似た部分があると思い、記事にしてみました。

なぜ初動対応が遅れるのか

　私の仕事の一つは、サイバー攻撃の被害にあった企業や組織を技術的に支援することです。そこで、サイバー攻撃やウイルス感染など、セキュリティの問題（以下、セキュリティインシデント）が発生した企業や組織が、どのような状態に陥り、その後、どう対処していくのかをある程度、身をもって知っています。もちろん、インシデント事象はさまざまですし、企業や組織のセキュリティ対策状況もさまざまなので、対応や状況も一様ではないのですが、多くの点で共通点があります。なお、今回は、いわゆるCSIRTがない（もしくはあっても機能していない）業界中堅以上の企業や組織を前提としたお話です。

　あるA社で、何らかのセキュリティインシデントが発生したとします。例えば、ある部門が所有する「Webサーバーが、C2サーバーにアクセスしているようだ」と、A社の広報に通報があったと仮定します。それが広報の責任者の耳に入ると、その人が「招集者」となって、緊急対策本部なる臨時のチームが結成されます。そのチームは次の特徴があります。

• 招集者がインシデントに関係をしてそうな人を急遽集める（数人〜十数人程度）
• 通報のあった情報以外に、インシデントの全体像はよく分かっていない状況
• 招集者は、責任感や使命感から行動しているが、心の奥底では「おおごと」にしたくないと強く祈っている
• この時点では経営層は招集されない
• 情報システム部門は必ず招集される（多くの場合、既に疲れが見えている）
• 招集された人の多くは、心の奥底では自分事だと思っていない

　招集後、緊急対策本部内で、発見した事象が共有される訳ですが、結局、全体像や詳細が分かっていないので、参加者のうち数人の間でしばらく空中戦が続いた後、「誰なら詳細（ファクト）を調査できるのか？」という話になります。その日の議論は、皆が正常性バイアス（緊急時でも日常の延長として物事を捉え、リスクを過小評価する人間の特性）に囚われ、今後の調査を誰かの宿題にして、一旦解散になります。次に緊急対策本部が開催されるのは、数日後だったりします。詳細調査にアサインされた担当者には、十分な情報は与えられず（というか指示者も情報を持っていない）、担当者は言われたことだけを（片手間に）作業するので、かゆい所に手が届かない情報しか得られません。その情報を用いて、次の緊急対策本部が開催されることになります。このような会議を数回繰り返した後、ある時、何らかのトリガーでホットな状況に急転します。その時、振り返ると初動対応がグダグダだったことに気がつきます（ホットになる前にいつの間にか収束するケースもあります）。

　十分に機能したCSIRTやリスク管理部に所属される方からすれば、ビックリする状況かもしれません。「まさか」と思うかもしれませんが、私はA社のような状況は日本の一般的な企業としてはありふれた状況だと考えており、決してA社の緊急対策本部に招集された方々の意識が低いとは思っていません。

　初動対応が遅れる原因となる重要なポイントは、最初に集められた緊急対策本部の人々が、まだ日常の世界にいる状態だと言う点です。最初から緊急対策本部の人々をホットな状態にできるのは、仕組みがあり訓練を行うからなせる業であり、特別なのです。どう対策すれば良いかは後ほど述べるとして、次回ももう少しグダグダの要因を掘り下げます。