連載
» 2020年10月06日 07時00分 公開

半径300メートルのIT:ゲーム感覚でインシデント対応を学ぶ ラックの研修に参加してみた (1/2)

インシデント対応に慣れるにはどうすればいいのでしょうか。ラックが主催する「情報セキュリティ事故対応1日コース」に参加して、インシデント対応をロールプレイ形式で学習してきました。

[宮田健,ITmedia]

 先日、本コラムで取り上げたコインチェックにおけるDNS書き換えインシデントの事例が、ITmediaエンタープライズの特別講演で当事者より語られました。非常に興味深い内容のため、まだご覧になっていない方は、チェックしてみてください。

 インシデント対応において、当事者は、リアルタイムで起こるさまざまな問題に対して適切な対応を求められます。こうしたインシデント対応に慣れるためには、経験を積むのが一番でしょう。しかし、一体どのように経験を積めば良いのでしょうか。

 セキュリティベンダーのラックが提供する「情報セキュリティ事故対応1日コース」は、セキュリティインシデント対応をロールプレイ形式で学習できる研修です。今回は、そこで得た学びのうち、技術以外の要素について取り上げたいと思います。

ラックが主催する「情報セキュリティ事故対応1日コース 机上演習編【リモートLive版】」を体験しました

インシデントも「リモートで」対応する時代 ロールプレイ形式で学習

 ラックは、2004年ごろからこうしたロールプレイ形式の研修を主催しています。今回私が参加したコースは、“机上演習”として“リモート環境”におけるインシデント対応を疑似的に体験できるものです。

 新型コロナウイルス感染症(COVID-19)によりテレワークが普及する中、当事者はオフィスの外からインシデント対応をする場合もあるでしょう。

舞台は架空のECサイト運営会社「ラッコ」。あなたはCSIRTメンバーとして事故対応に奔走します

 本コース「情報セキュリティ事故対応1日コース 机上演習編【リモートLive版】」は、リモート環境から参加する形で、コミュニケーションコストが高い環境下における「適切な対応」をゲーム感覚で学習できます。

 私は同コースの一部分を体験しましたが、本来の内容は、150分のインシデント対応訓練に始まり、ディスカッションや発表、振り返りなどを含めた7.5時間の演習プログラムで構成されています。

 長いと感じる方がいるかもしれませんが、受講者を飽きさせない工夫が随所に凝らされています。例えばインシデントのきっかけである従業員の違和感が、アニメーション動画で説明されたり、受講者のディスカッション内容に応じて「Zoom」の背景が「いいね!」「もっとアクションを!」という指示に変わったりします。

 演習のストーリーについて説明しますと、架空のECサイト運営会社「ラッコ」が今回の研修の舞台です。従業員の「メールの添付ファイルを開いたら、なんだか違和感があった」という報告を受けるところから、インシデント対応が始まります。

 受講者は、ラッコのCSIRTメンバーとして、この違和感と向き合っていくのですが、端末を調べようにもテレワークのためPCは従業員の自宅にあります。さて、どうすべきでしょうか。

 調査の次には「匿名掲示板のサーバに、当社のものらしき100万件以上の個人情報が置かれている」という報告が挙がります。CSIRTは、早速掲示板の管理者に問い合わせますが、管理者からは「あなたの会社のデータかどうか分からないので、あなたが持っているデータを提供してくれれば、突合して調べます」と回答されます。この場合、どうするのがCSIRTとして適切な対応でしょうか。

思わず“ドキッ”とするような報告が社内から挙がります

 受講者は、状況が変わる都度「社長」や「情報システム部」といった役割を果たす“ゲームマスター”とも呼べるラックの講師に対して、さまざまな質問や調査を依頼できます。ただし、基本的に「アクションを起こさなければ事態はそのまま悪化する」ため、制限時間内に適切なアクションを考え、実行する必要があります。

 問題を放っておくと、演習の初期は問題視されていなかった“穴”が広がり、マスコミを含めた大騒動に発展してしまいます。技術的な要素以外にも、サポートや広報対応、B2C対応、B2B対応、不安を抱える従業員への対応など同時に押し寄せる複数の問題を、リモートで適切に対処できるかどうかがこの研修の肝です。短いながら非常に面白い体験をさせていただきました。

CSIRTの対応が煮詰まっていると、なんと「マスコミ」が事件を報道し始めました
       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ