インヴァスト証券は2023年10月25日、金融庁が主催する『金融業界横断的なサイバーセキュリティ演習（Delta Wall Ⅷ）』に参加しました。こちらはサイバー攻撃によるシステム停止、を想定して報告体制の確認や方針を検討する演習です。今回演習を担当したシステム管理部ITリスクチームの2名に話を聞きました。

演習担当者①
渡部 智也
ITリスクチームに異動してきて半年。今回担当者としてはじめてサイバーセキュリティ演習に参加。演習では事務局との調整や演習全般の運営を担当。最近のマイブームは、たまに昼食で同僚を巻き込んで昆虫食を食べること。

演習担当者②
根石 康晴
インヴァスト証券のシステムに15年以上携わる。演習では責任者として全体統括を担当。好きな食べ物は、夫婦で一緒に作って食べる豚汁。

―今回実施された『金融業界横断的なサイバーセキュリティ演習（Delta Wall Ⅷ）』ですが、こちらはどのような演習だったのでしょうか？

渡部

金融庁が主催した演習で、証券会社、銀行、保険会社など金融機関各社が横断的に参加して、インシデント（障害）が発生したという想定の下、金融庁からのアナウンスで次々と発生する事態に対して、社内の関係部署が連携し、適切な対応をとっていくという内容です。

具体的には、金融庁からインシデント発生のアナウンスを受け、経営層をはじめシステム、カスタマーサポート（CS）、マーケティング、経理などの各部門で情報を共有し、連携しながら必要な対処を行います。金融庁の演習事務局が、ロールプレイングのように金融庁、ITベンダー、顧客などの役を演じ、様々なアナウンスを発します。状況は刻々と変化し、まさに実際にインシデントが起きたときのような臨場感のある演習となっています。この演習を通じて、インシデントの未然防止、インシデント発生時の検知、特定、対応、 および業務の早期復旧や顧客影響の軽減といったレジリエンス（復元力）強化などを図ります。

演習当日は全社統括を務める社長以下、システム管理、IT、CS、マーケティング、ディーリング、経理、管理、コンプライアンスなどの各部門の部長クラス、総勢19名が参加。4時間余りにわたり、次々と起こる緊急事態に対応しました。

※編集注記：金融庁主催の演習に参加しました。概要は上記の金融庁公式HPに記載されています。

―4時間余りの大がかりな演習でした。当日はどのようなインシデントが発生し、参加者はどのような対応をしましたか。

渡部

演習事務局が金融庁、ITベンダー、警視庁など外部機関の役を演じ、当社に様々なアナウンスを発します。それを受けて連絡窓口のITリスクチームが、システム管理やCSなど社内の関係部署・担当者と情報連携し、必要な対応を実施していくのが基本的な流れとなります。

当日は、事務局からの「業務システムの停止」、「技術的な原因が判明」、「人為的な操作も発覚」といった具合に刻々と状況が変化し、その都度、対応を行っていきました。

※リモート勤務している方も含め19名が参加しました。BCP発動により部長クラスを含め出社している参加者はオフィス２階に集まりました。

―参加された皆さんの様子も教えてください。やはり緊迫した雰囲気でしたか。

渡部

事務局からアナウンスが来ると、演習の参加者である各担当部署・担当者にSlackで伝え、協議を行います。そのうえで、外部機関役の事務局に調査の依頼や注意喚起などの連絡をする流れとなります。

演習のシナリオは、事前には知らされていないので先の展開が読めません。ずっと緊迫した状態で、全社が一丸となって臨んでいました。情報を共有したうえで、それぞれの部署が必要な判断や対処を行うのですが、技術的なアナウンスについては、IT部の技術者が会議を開き、ログの調査方針について活発に意見を交わしながら、答えを導き出していきました。

根石

社内で完結するサイバーセキュリティ演習は、これまでに何度も行ってきましたが、今回のような外部の事務局とやり取りしながら行う演習は、参加者全員が初めてでした。

参加者に対しては事前説明会を行い、また、社内規程の読み合わせや迅速に連絡できる体制の整備などを行ったうえで演習に臨みました。初めてでしたが、参加者全員が一丸となって問題解決に取り組めたと思います。当社は日頃から風通しがよく、役職や上下関係にとらわれることなく、相談しあえる社風が強みです。この強みが存分に活きて、迅速に情報連携ができました。

※障害発生を想定した演習だったため、緊迫した雰囲気の時間も多かったです。

―担当者として感想をお願いします。自己採点すると何点くらいでしょうか。

渡部

自分は、ITリスクチームに異動してまだ半年で、今回が異動後初めての演習でした。自分がいちばん勝手のわからないまま参加したような形で、至らない点が多かったと思います。演習の進行や情報連携などで周りの方に随分とフォローしてもらい、無事に終えることができました。演習を通じて、参加者の皆さんと自分も含めて、社内全体でサイバーセキュリティに対する意識づけや認識強化ができたと感じています。

自己採点は60点。理由は自分自身に至らない点が多かったからです。周りのフォローに助けられました。

根石

演習の準備を兼ねて、事前に連絡体制の整備などを行ったので、参加者の皆さんは、実際に障害が発生したときの自分自身の役割を認識し、迅速に情報共有できる体制ができていたと思います。自己採点は80点ですね。過去の社内の演習経験を活かしつつ、今回の初めての演習形式に備えて事前に社内説明会を開催したことで、当日は混乱することなく進められました。事前の説明会ではわかりやすい説明資料を準備し、参加者の演習に対する意識づけ、当日の役割の明確化ができた点がよかったと思います。一方で凡ミスもあり、最初の事務局とのやりとりがスムーズにいかなかったことが反省点です。担当者として準備不足だったので20点減点しました。

―最後に、インヴァスト証券におけるサイバーセキュリティへの考え方も教えてください。

渡部

弊社はインターネットオンラインを主軸としたネット証券会社なので、サイバーセキュリティに対する意識づけはもっとも根幹となる重要な要素だと考えています。お客様から安心して資産を預けてもらうには、会社全体として情報収集や対策に注力することに加えて、社員一人一人の意識向上が不可欠です。今回の演習は、部長などマネジメント層が中心でしたが、各部門で今回の内容や学びを共有し、会社全体の底上げにつなげていきたいと考えています。

新しく入社した社員向けの研修や階層別の研修の一つとして、セキュリティ領域の研修や演習を引き続き充実させていきます。