Upgrade to Pro — share decks privately, control downloads, hide ads and more …

インシデント対応訓練なぜやらない? セキュリティ重視のカルチャーとクラウド環境に裏打ちされた freeeの全社障害訓練

freee
March 08, 2023

インシデント対応訓練なぜやらない? セキュリティ重視のカルチャーとクラウド環境に裏打ちされた freeeの全社障害訓練

freee

March 08, 2023
Tweet

More Decks by freee

Other Decks in Technology

Transcript

  1. 4 スモールビジネス向けに統合型クラウド(1)ERPを提供 統合型クラウド会計ソフト 統合型クラウド人事労務ソフト 請求書 | 経費精算 | 決算書 |

    予実管理 ワークフロー | 内部統制 2013年3月~ 日本のクラウド会計ソフト市場 シェアNo.1 (2) 勤怠管理 | 入退社管理 | 給与計算 | 年末調整 マイナンバー管理 2014年10月~ スモールビジネスの 人事管理市場において 売上金額シェアNo.1(3) (3) その他サービス 会社設立 開業 税務申告 受発注 クレジットカード プロジェクト管理 電子契約 注: 1. クラウドサービス:ソフトウェアやハードウェアを所有することなく、ユーザーがインターネットを経由してITシステムにアクセスを行えるサービス 2. リードプラス「キーワードからひも解く業界分析シリーズ:クラウド会計ソフト編」(2022年8月) 3. 「freee人事労務」はITRが今年調査発行した「ITR MARKET VIEW:人事・給与・就業管理市場2022」の人事管理市場において、従業員100人未満および従業員100~300人未満の企業で売上金額シェアNo.1(2020年度)を獲得してい ます。 勤怠管理 (中堅企業向け) 経費精算
  2. 9
 2021・2022年の全社障害訓練が大きな話題に
 • 【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
 • freee

    Tech Night 「本当に怖い障害訓練、犯人はfreeeの中にいる!?」
 • 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練 の舞台裏 「従業員はトラウマに」 - ITmedia NEWS
 • “自社DB破壊&身代金要求”に直面してfreee経営層が気付いた3つの課題  佐々木CEOに聞く - ITmedia NEWS
 • Software Design 2022年5月号|技術評論社 • ITmedia Cloud Native Week 2022 夏 • JaSST'22 Niigata • 「うちの情報、freeeから漏れたんじゃないんですか?」 顧客から問い合わせ 殺到──したらどうする? freeeが再び全社訓練 - ITmedia NEWS
  3. 10
 なぜ全社障害訓練をするようになったのか
 • 2018年10月の大規模障害がきっかけ
 ◦ 長時間のサービス停止の反省
 ◦ 「大規模」であるがゆえの難しさ
 • 10月をセキュリティ月間と定め、翌年からCIOを中心として訓練を企画


    ◦ 2019年:部門ごとのミニ訓練
 ◦ 2020年:複数サービスが同時にダウンする大規模訓練
 ◦ 2021年:経営層も巻き込むランサムウェア対応訓練
 ◦ 2022年:多量の情報漏洩に始まる顧客・マスコミ対応訓練

  4. 12
 ⑥4.0BTC払え
 ④2FAリセットして
 CEO
 (被害者)
 CIT
 (被害者)
 AWS本番
 サーバ
 Engineer


    (被害者)
 攻撃者
 ⑤
 - login
 - データ奪取
 - DB破壊
 ① malware
 ②install
 ③
 - reverse shell
 - password
 - cookies
 2021年の訓練シナリオ

  5. 13
 2021年:複合的なインシデントを想定した訓練
 • サプライチェーンリスクへの対処
 • 侵入検知と対処
 • ハイブリッドワーク
 • 大規模サービス障害対応


    • ランサムウェア対応
 従業員のセキュリティ意 識が向上
 社内手続きの
 脆弱性修正
 障害対応プロセス
 の改善

  6. 15
 2022年:情報漏洩と顧客・マスコミ対応
 • ログインフォームの脆弱性から、IDとパスワードが大量に漏洩
 ◦ 最近よくみるクレジットカード番号漏洩と同じもの
 ◦ 原因究明のための調査が肝
 • サポート・広報の問合せ対応


    ◦ 対外アナウンスのタイミング、社内の情報統制
 ◦ 原因調査チームとの連携
 ログの重要性を再認識
 素早く調べるプラットフォー ム構築へ
 組織をまたいだ
 対応ノウハウと
 障害ブリッジの
 活用方法

  7. 19
 インシデントリプレイ訓練
 過去に発生し、対処方法がわかっているインシデントを、人為的に発生させる訓練
 ◦ 小規模なチーム単位で実施
 ◦ インシデント対応に不慣れなメンバーだけで対応
 ◦ 訓練 2時間

    + ふりかえり(ポストモーテム) 1時間
 ◦ 定められた手順どおり対応できているかどうかを評価
 繰り返すことでインシデント対応への心理的障壁を取り除くのが目的
 本物のインシデントで慌てないための訓練
 freeeでは開発 チームで運用中

  8. 21
 全社障害訓練の準備
 • 2021年
 ◦ 企画メンバー: 4名 / 準備期間:2ヶ月 (実質10日程度)


    ◦ 疑似本番環境の構築:既存テスト環境を流用 (+ 監視ツールのインストール程度)
 ◦ 疑似サイバー攻撃の構築:公開情報のみの利用 (ゼロディ脆弱性などは不使用)
 • 2022年
 ◦ 企画メンバー:4名 / 準備期間:2ヶ月 (実質2週間程度)
 ▪ 訓練当日のみ:顧客役 / 1名 (メールと電話)、マスコミ役 / 1名 (電話)
 ◦ 疑似本番環境の構築:既存テスト環境を流用 (+ 監視ツールのインストール程度)
 ◦ 疑似サイバー攻撃の構築:疑似的な脆弱性 + 攻撃の痕跡をログに記録

  9. 23
 TTX (TableTop Exercise:机上演習)
 実際の設備やツールを使わずに、状況付与と会話だけで行う演習手法
 • 対応プロセスが未整備・未成熟な領域でやると効果的
 ◦ インシデント対応プロセスの精度向上
 ◦

    実行可能な対応プロセスの策定
 ◦ 「想定外」の発見
 • IT以外の領域でも活用できる
 ◦ ユーザーサポート
 ◦ 経営層
 freeeの訓練でも 一部でTTXを併用