はじめに

こんにちは！ DeNAセキュリティ部の竹浪と申します。

突然ですが、セキュリティインシデントが発生したとき、あなたの組織では誰が対応をリードしますか？

DeNAでは、日々変化する事業環境の中で、サービスを安全かつスピーディーに提供するために、さまざまな角度からセキュリティ強化に取り組んでいます。

中でもユニークなのが、今回ご紹介する新任マネージャ向けのセキュリティインシデント対応ワークショップです。

この記事では、DeNAがなぜこのワークショップを重要視し、どのように実施しているのか、そしてどのような学びを提供しているのかをお伝えします。

情報セキュリティそのものや社内教育に関心のある方、あるいはDeNAグループのセキュリティ施策に興味をお持ちの方々に、私たちDeNAならではの取り組みと、このワークショップの価値を感じていただけたら嬉しいです。

「インシデント対応ワークショップ」とは

DeNAで実施しているインシデント対応ワークショップは、一言でいうと「避難訓練」や「防災訓練」のようなものです。例えば、「コンビニに強盗が入った際の対応シミュレーション」のように、「もしもの事態において、誰がどのように動くか」を擬似的に体験する訓練がありますが、その「情報セキュリティ版」をイメージしていただくとわかりやすいかと思います。

ワークショップの概要は以下のとおりです。

• 開催頻度：月に一回
• 開催形式：オンライン
• 1回あたりの長さ：2時間
• 対象者：DeNAグループで新たに or 再び役職者となる従業者
• 運営：セキュリティ部（DeNA CERT）、コンプライアンス・リスク管理グループ

「DeNA CERT（ディー・エヌ・エー サート）」とは、セキュリティ部を含めた組織横断型のチームで、セキュリティインシデント（以下「インシデント」）の低減と被害の最小化を目指し、平時・有事に活動を行うセキュリティの専門部隊です。

通常、このような専門性の高いインシデント対応の訓練は、主にセキュリティ専門部署のメンバー向けに実施されることがほとんどだと思います。が、DeNAでは敢えて、事業の最前線で指揮を執るマネージャ層に受講してもらっています。しかも、所属部署や職種を問わず、新たにマネージャになったすべての従業者が受講必須としています。ここは少し特徴的だと思うので、背景もお伝えします。

「インシデント対応のオーナー = マネージャ」という考え方

DeNAではインシデントが発生すると、DeNA CERTのサポートを受けつつ、事業部のマネージャなど当該ビジネスに責任を持つ人が対応をリードすることになっています。

したがってマネージャは、インシデント発生時、事業の継続を最優先に、状況を迅速に把握し、適切な判断を下せるようになっておかなければなりません。そしてそのためには、セキュリティに関する知識だけでなく、事業全体の状況・顧客への影響・ステークホルダーとの連携といった、多角的な視点が必要です。

そこで、マネージャが「インシデント対応のオーナー」としてのふるまいを疑似体験し、規定のフローを再確認・ブラッシュアップする機会として、このワークショップを開催している、というわけです。

なお、このワークショップは1回あたり2時間と長丁場なので、多忙なマネージャ層からすると時間の確保もなかなか難しいかもしれません。そこで、実施頻度を月に一度と多めに設定し、開催スケジュールをあらかじめ公開しておいて、各自に参加可能な日程で申し込んでもらうスタイルを取ることで、年間100名以上のマネージャの参加を実現し、組織全体としてのセキュリティレベルの底上げを図っています。

リアルなシナリオから生まれる深い学び

このワークショップで私たちが特にこだわっているのが、「実際の現場さながらのリアリティ」をワークショップの随所に仕込むことです。その特徴を、シナリオ作成・ワークショップの始め方・途中の情報追加についてそれぞれ紹介します。

①シナリオ作成

まずベースとなるシナリオは、セキュリティ部のメンバー複数名で議論を重ねて作成しました。世の中で実際に発生したインシデントを元に、DeNAグループの多様な事業内容や組織構造、社内ルール、マネージャに学んでほしいポイントなどを凝縮しています。また、一度作ったら終わりではなく、開催のたびに運営スタッフで振り返りを行い、継続的にアップデートしています。

②ワークショップの始め方

実際のワークショップの進め方も、リアリティを重視しています。

参加者には事前に、シナリオの「舞台」となる架空の組織やサービスの前提情報をお伝えしています。そして当日は、その「舞台」で突如としてインシデントが発生した、と告げるところから始まります。

例えば、あるシナリオの始まりはこうです。

大きなリアルイベントを3日後に控えているが、1時間ほど前からイベント情報の登録ができない、ポイントの交換画面が開かないといった問い合わせが相次いでいる、という連絡がCS（カスタマーサービス）から入りました。組織図を参考にしながら、この時点でとる行動、やるべきことを話し合ってください。

上記の場合は、「大きなリアルイベントを3日後に控えた架空のサービス」が、シナリオの「舞台」にあたります。この漠然とした情報しかない状態で、「今、何をするのが最善か？」をチームで話し合うことになります。

このワークショップに参加するのは、多様な専門領域を持つマネージャたちなので、例えばエンジニア職の人は「開発チームにログの調査依頼をしよう」、ビジネス職の人は「ユーザーからの問い合わせ件数や具体的な内容についてCSに確認したい」といったように、それぞれの視点から具体的なアイディアを持ち寄り、協力しながら対応を検討していきます。まさに「インシデント対応はチームで行うものだ」という重要な学びを体得していく瞬間です。

また、ワークショップ中は基本的に全員がカメラをオンにし、互いの表情を見ながら意見を交わすことで、実際のインシデント現場さながらの臨場感を体感できるよう工夫しています。

③途中の情報追加

さらに、議論が進行している最中に予期せぬ「状況の追加」を行います。

参加者には「いつ・何が」開示されるかを一切知らせないまま、議論の最中に「調査結果の判明」や「問い合わせの急増」といった情報が唐突に飛び込んできます。これは、刻一刻と状況が変化する実際の現場ならではの難しさを再現するためです。

そのため、議論中やその後の振り返りでは、「あの時こうしておけば……」「ここがわかっていなかった」といった葛藤や反省が必ずと言っていいほど生まれます。

しかし、私たちはこの「できなかったこと」への気づきこそが、最大の収穫だと考えています。生々しい体験を通じて課題を洗い出し、それを実践に活かすための準備をすることが、このワークショップの真の目的だからです。

参加者の高い満足度と継続的な改善

専門性が高く、がっつり2時間 “拘束” されるという意味では、日々多忙なマネージャ層にとっては少々負荷が高いプログラムかもしれません。が、参加した方からは毎回「参加してよかった」「とても勉強になった」「ぜひチームのメンバーにも参加してほしい」など、非常にポジティブな評価をいただいています。

そうした満足度と実効性の高い体験を提供し続けるために、実施後には毎回、スタッフがそれぞれ感じたKPT（Keep, Problem, Try）を持ち寄り、詳細な振り返りを行っています。

例えば…

記入者名は仮名、内容も多少丸めていますが、こんな感じで、具体的なワークショップの内容から開催のロジスティクス周りまでざっくばらんに話し合います。そして、実施中の参加者の様子や、回答いただいた参加後アンケートの内容も踏まえながら、小さな改善を継続的に積み重ねています。

ここまでは、現状うまくいっている点やユニークな側面について紹介してきましたが、もちろん課題もあります。

DeNAグループは非常に多種多様な事業を展開しているため、例えばゲーム開発を主とするマネージャと、ヘルスケア領域のビジネス職、スポーツ事業で全国を飛び回る管理職では、それぞれが優先的に身につけるべきセキュリティ知識や、遭遇する可能性の高いインシデントの種類が異なると考えられます。すべての人に一律の体験を提供することの意義は理解しつつも、それぞれの事業特性にどこまで最適化した体験を届けられるか、という点にはさらなる工夫の余地があります。

そうした課題については、例えばよりライトに受講できるシナリオの新設や、AIを使って参加者の属性や事業内容に合わせたシナリオを出し分けるといった案を検討し、さらなる改善を目指しています。

ワークショップがもたらす、インシデント対応 “以外” の価値

最後に、筆者が個人的に感じている、このワークショップを通じて得られる “副産物” についても触れておきたいと思います。それは、初対面の人や初めて知る物事に対してもフラットに熱量高く向き合える、社交的で好奇心旺盛なDeNAのカルチャーに起因する、インシデント対応の技術や知識 “以外” の価値です。

1. 組織をまたいだ「横のつながり」

一つ目は、参加者同士のつながりです。

数千人規模のDeNAグループでは、普段交わらない別部署や子会社も当然たくさんあります。そうしたさまざまな持ち場に属するリーダーたちが一堂に会し、2時間みっちり議論し、時には軽口も交えながら難局を乗り越えると、終了時には自然と「顔馴染み」の距離感に変わります。

「社内に知っている人が増える」ことは心理的安全性につながり、いざという時の早期報告や気軽な相談を生みます。これが巡り巡って、組織全体をセキュアな状態へ導く土台となるのではないでしょうか。

2. セキュリティ部への「心理的ハードル」を下げる

二つ目は、文字だけでは堅苦しく見えがちな「セキュリティのルール」や「セキュリティ部」へのとっつきにくさを解消することです。

ワークショップで「中の人」の顔が見え、一緒に頭を悩ませることで、「困ったらまずあそこに聞いてみよう」と思える関係性が築けます。「セキュリティ部は意外と話しやすい」と感じてくれるリーダーがグループ内に増えることは、組織の防衛力を高める上で何よりの強みだと、筆者は考えています。

おわりに

今回は、DeNAでマネージャ向けに実施しているインシデント対応ワークショップを紹介しました。

DeNAでは、ビジネスの責任者がインシデント対応の指揮を執るため、専門性の高い内容のワークショップを、敢えて事業部のマネージャに受講してもらっています。今回はその背景や、多忙なマネージャ陣に深い学びを持ち帰ってもらうための工夫をお伝えしました。

セキュリティの重要性は誰もが理解していながら、日常業務の中で「自分ごと」にするのは簡単ではありません。だからこそ、こうした取り組みを通じて当事者意識を持ってもらうことが、組織全体のセキュリティを高めていく確かな一歩になるのではないでしょうか。

この記事でお伝えした私たちの試行錯誤やアプローチが、組織におけるセキュリティ教育やチームづくりのヒントになれば幸いです。

最後までお読みいただき、ありがとうございました。