シマンテックのオンラインイベントで紹介されたfreeeの全社障害訓練の話が参考になったので記事書きました

弊社では昨年10月から、シマンテック セールスセンターサイトの運用をご支援させていただいているのですが、

サービスサイトの他に、この2月に

シマンテック サイバーセキュリティ オンラインカンファレンス 【YELLOWs 2023】

↑こちらのイベントサイトについても運用のお手伝いをさせていただきました。

このイベントは、ITmediaさんもスポンサーになっていて、世の中狭いと感じつつ仕事してる今日この頃です。

さて、こちらのオンラインイベント、当然のことながらセキュリティ関係の講演が沢山行われました。

そしてIT業界の方であれば、freeeさんが2021年と2022年に実施した全社障害訓練の事はご存じの方も多いかと思います。

詳しい内容、freeeさんのオウンドメディアのほか様々なメディアで取り上げられておりそれを読むことも出来ますが、

• 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏　「従業員はトラウマに」（1/3 ページ） - ITmedia NEWS
• 「うちの情報、freeeから漏れたんじゃないんですか？」　顧客から問い合わせ殺到──したらどうする？　freeeが再び全社訓練（1/3 ページ） - ITmedia NEWS
• 【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
• 本当に怖い障害訓練、犯人はfreeeの中にいる！？ - freee Developers Hub

今回【YELLOWs 2023】にfreee株式会社 PSIRT マネージャーのただ ただし氏が登壇され、その講演内容がやはり大変参考になりました。

そして、この講演の模様が現在オンデマンド配信されていて、多くの人に見てもらう価値があると感じたので、業務で関わっているサイトにはなりますが、本当に見ておいて損はない内容と感じたので記事化させてもらった次第です。

以下は自分なりのメモをそのまま貼っておきます

出来ないという声に対して＞やれる体制を作るところから＞まず小さな組織で訓練を根付かせてみては？

インシデントリプレイ訓練（過去に発生し、対処方法がわかっているインシデントを、人為的に発生させる訓練）

• 小規模なチーム単位で実施
• インシデント対応に不慣れなメンバーだけで対応
• 訓練２時間＋ふりかえり１時間
• 定められた手順どおり対応できているかどうかを評価

繰り返すことでインシデント対応への心理的障害を取り除くことが目的

本物のインシデントで慌てないための訓練

工数かかるのでは？＞シナリオだけあればテストはできる（工夫で軽くできる）

実施規模

2021年　
企画メンバー4名、準備期間2ヶ月（実質10日程度）
疑似本番環境の構築：既存テスト環境を流用（＋監視ツールのインストール程度）
疑似サイバー攻撃の構築：公開情報のみの利用（ゼロディ脆弱性などは不使用）

2022年
企画メンバー4名、準備期間2ヶ月（実質2週間程度）
・訓練当日のみ：顧客役1名、マスコミ役1名
疑似本番環境の構築：既存テスト環境を流用（＋監視ツールのインストール程度）
疑似サイバー攻撃の構築：擬似的な脆弱性＋攻撃の痕跡をログに記録

技術的なハードル高そう＞そこに拘らなければ訓練手法はある＞コストダウンにも繋がる

ＴＴＸ：TableTop Exercise：机上演習　＞　実際の設備やツールを使わずに、状況付与と会話だけで行う演習手法

■対応プロセスが未整備・未成熟な領域でやると効果的
・インシデント対応プロセスの精度向上
・実行可能な対応プロセスの策定
・「想定外」の発見

■ＩＴ以外の領域でも活用できる
・ユーザサポート
・経営層

• 訓練でしか得られないものはたくさんある
• インシデント対応プロセスの改善
• 従業員の習熟度向上

粗いメモで恐縮ですが、講演内容は視聴可能なので、詳細についてはご覧いただければと思います。

実際に話が聞けるこちらのコンテンツは少ないので、ご興味ある方は是非ご覧いただければと思います。

お申込は以下のサイトからどうぞ

• シマンテック サイバーセキュリティ オンラインカンファレンス 【YELLOWs 2023】

ちなみにオンデマンド配信は3月18日までの限定公開となります。