インシデント対応訓練なぜやらない？
 セキュリティ重視のカルチャーとクラウド環境に裏打ちされた
 freeeの全社障害訓練
 2023.02.24
 freee株式会社 PSIRT ただただし


　 2
 富士通グループのセキュリティ専門の研究所で8年間、サ イバー攻撃研究チームを率いたのち、2020年からfreee へジョイン。立ち上がって間もないPSIRTのマネージャーと して、freeeのプロダクトセキュリティを守る。
 プライベートでもオープンソースプログラマとして30年以上 の開発経験を持つ。tDiary Project Founder。
 ただただし
 freee PSIRT マネージャー
 Tada, Tadashi
 プロフィール画像の トリミング方法


　 freeeについて


4 スモールビジネス向けに統合型クラウド(1)ERPを提供 統合型クラウド会計ソフト 統合型クラウド人事労務ソフト 請求書 | 経費精算 | 決算書 | 予実管理 ワークフロー | 内部統制 2013年3月～ 日本のクラウド会計ソフト市場 シェアNo.1 (2) 勤怠管理 | 入退社管理 | 給与計算 | 年末調整 マイナンバー管理 2014年10月～ スモールビジネスの 人事管理市場において 売上金額シェアNo.1(3) (3) その他サービス 会社設立 開業 税務申告 受発注 クレジットカード プロジェクト管理 電子契約 注: 1. クラウドサービス：ソフトウェアやハードウェアを所有することなく、ユーザーがインターネットを経由してITシステムにアクセスを行えるサービス 2. リードプラス「キーワードからひも解く業界分析シリーズ：クラウド会計ソフト編」（2022年8月） 3. 「freee人事労務」はITRが今年調査発行した「ITR MARKET VIEW：人事・給与・就業管理市場2022」の人事管理市場において、従業員100人未満および従業員100~300人未満の企業で売上金額シェアNo.1（2020年度）を獲得してい ます。 勤怠管理 （中堅企業向け） 経費精算

スモールビジネスを、世界の主役に。


6
 誰もが自由に経営できる環境を作る


7
 リアルタイムデータ収集 + 可視化 + 自動化 


　 インシデント対応訓練の話


9
 2021・2022年の全社障害訓練が大きな話題に
 ● 【マジで】サイバー演習シナリオの作り方【怖い】 - freee Developers Hub
 ● freee Tech Night 「本当に怖い障害訓練、犯人はfreeeの中にいる！？」
 ● 自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練 の舞台裏　「従業員はトラウマに」 - ITmedia NEWS
 ● “自社DB破壊＆身代金要求”に直面してfreee経営層が気付いた3つの課題　 佐々木CEOに聞く - ITmedia NEWS
 ● Software Design 2022年5月号｜技術評論社 ● ITmedia Cloud Native Week 2022 夏 ● JaSST'22 Niigata ● 「うちの情報、freeeから漏れたんじゃないんですか？」　顧客から問い合わせ 殺到──したらどうする？　freeeが再び全社訓練 - ITmedia NEWS

10
 なぜ全社障害訓練をするようになったのか
 ● 2018年10月の大規模障害がきっかけ
 ○ 長時間のサービス停止の反省
 ○ 「大規模」であるがゆえの難しさ
 ● 10月をセキュリティ月間と定め、翌年からCIOを中心として訓練を企画
 ○ 2019年：部門ごとのミニ訓練
 ○ 2020年：複数サービスが同時にダウンする大規模訓練
 ○ 2021年：経営層も巻き込むランサムウェア対応訓練
 ○ 2022年：多量の情報漏洩に始まる顧客・マスコミ対応訓練


11
 対応を間違えたら
 会社が潰れかねない
 悪夢のような
 インシデントを起こす


12
 ⑥4.0BTC払え
 ④2FAリセットして
 CEO
 (被害者)
 CIT
 (被害者)
 AWS本番
 サーバ
 Engineer
 (被害者)
 攻撃者
 ⑤
 - login
 - データ奪取
 - DB破壊
 ① malware
 ②install
 ③
 - reverse shell
 - password
 - cookies
 2021年の訓練シナリオ


13
 2021年：複合的なインシデントを想定した訓練
 ● サプライチェーンリスクへの対処
 ● 侵入検知と対処
 ● ハイブリッドワーク
 ● 大規模サービス障害対応
 ● ランサムウェア対応
 従業員のセキュリティ意 識が向上
 社内手続きの
 脆弱性修正
 障害対応プロセス
 の改善


14
 2022年の訓練シナリオ
 ● ログインフォームの脆弱性から、数千人分のパスワードが漏洩
 ● 不正アクセスにより多数の企業データが窃取される
 ● 個々の企業に直接、身代金要求の脅迫メールが送られる
 ● 問合せ殺到、Twitterでも炎上
 ● マスコミからの問合せも発生


15
 2022年：情報漏洩と顧客・マスコミ対応
 ● ログインフォームの脆弱性から、IDとパスワードが大量に漏洩
 ○ 最近よくみるクレジットカード番号漏洩と同じもの
 ○ 原因究明のための調査が肝
 ● サポート・広報の問合せ対応
 ○ 対外アナウンスのタイミング、社内の情報統制
 ○ 原因調査チームとの連携
 ログの重要性を再認識
 素早く調べるプラットフォー ム構築へ
 組織をまたいだ
 対応ノウハウと
 障害ブリッジの
 活用方法


16
 障害訓練の重要性は
 わかった。
 
 でも……


17
 うちの社風では
 とても無理だ
 すごい工数が
 かかりそう
 技術的に
 難しそう


18
 うちの社風では
 とても無理だ
 いきなり全社訓練はハードル高い
 まずは小さな組織で
 訓練を根付かせてみては？


19
 インシデントリプレイ訓練
 過去に発生し、対処方法がわかっているインシデントを、人為的に発生させる訓練
 ○ 小規模なチーム単位で実施
 ○ インシデント対応に不慣れなメンバーだけで対応
 ○ 訓練 2時間 + ふりかえり(ポストモーテム) 1時間
 ○ 定められた手順どおり対応できているかどうかを評価
 繰り返すことでインシデント対応への心理的障壁を取り除くのが目的
 本物のインシデントで慌てないための訓練
 freeeでは開発 チームで運用中


20
 すごい工数が
 かかりそう
 実はそんなにかかって
 いません


21
 全社障害訓練の準備
 ● 2021年
 ○ 企画メンバー： 4名 / 準備期間：2ヶ月 (実質10日程度)
 ○ 疑似本番環境の構築：既存テスト環境を流用 (+ 監視ツールのインストール程度)
 ○ 疑似サイバー攻撃の構築：公開情報のみの利用 (ゼロディ脆弱性などは不使用)
 ● 2022年
 ○ 企画メンバー：4名 / 準備期間：2ヶ月 (実質2週間程度)
 ■ 訓練当日のみ：顧客役 / 1名 (メールと電話)、マスコミ役 / 1名 (電話)
 ○ 疑似本番環境の構築：既存テスト環境を流用 (+ 監視ツールのインストール程度)
 ○ 疑似サイバー攻撃の構築：疑似的な脆弱性 + 攻撃の痕跡をログに記録


22
 技術的に
 難しそう
 TTXなど、技術要素の少ない
 訓練手法もあります


23
 TTX (TableTop Exercise：机上演習)
 実際の設備やツールを使わずに、状況付与と会話だけで行う演習手法
 ● 対応プロセスが未整備・未成熟な領域でやると効果的
 ○ インシデント対応プロセスの精度向上
 ○ 実行可能な対応プロセスの策定
 ○ 「想定外」の発見
 ● IT以外の領域でも活用できる
 ○ ユーザーサポート
 ○ 経営層
 freeeの訓練でも 一部でTTXを併用


　 まとめ


25
 訓練でしか得られないものはたくさんある
 ○ インシデント対応プロセスの改善
 ○ 従業員の習熟度向上
 ○ …
 まずは軽量、低コストな訓練から始めてみる
 ○ 小さな組織から始めて、次第に関連部署を巻き込む
 ○ TTXを活用して改善サイクルを回す


スモールビジネスを、世界の主役に。