インシデント対応訓練レポート

こんにちは。Cy-SIRT(Cybozu Security Incident Response Team)の中井戸です。 今回は、社内で実施したインシデント対応訓練の様子をお届けします。

Cy-SIRTとは

Cy-SIRTロゴ

Cy-SIRTは、社内の情報セキュリティインシデントに対応するチームで、社内では「セキュリティ室」として活動しています。

インシデントに備え、事前に体制や対応フローを構築し、情報セキュリティに関わる脅威情報の収集や分析、検知後の対応などを行う平時の活動のほか、インシデントが発生した場合の各部門への連携、調査を行う有事の活動を行っています。 弊社製品の脆弱性の対応などを行っている開発本部PSIRTチーム(Cy-PSIRT)と併せてCy-SIRTと呼んでいます。

今回のインシデント対応訓練は、セキュリティ室とPSIRTの合同で事務局を担い、開催しました。

訓練の流れ

インシデント対応訓練は、一言でいうとサイバー攻撃に対する「防災訓練」です。 進行役が提示するシナリオをもとに、参加メンバーは議論や意思決定を進めます。 最後に気づきや反省点を振り返り、対応手順や体制を改善していきます。

 訓練の目的は以下2点です

  • インシデント対応フローの改善

  • 関係者同士の把握

フルリモート開催

インシデント対応訓練は、関係者を増やしながら毎年開催しています。

サイボウズではコロナ禍前から働き方の多様性を促進しており、リモートワークをするメンバーも増えていたことから、 オンラインでの訓練を要望する声が上がっていました。 そこで、今回は参加者全員でリモートで訓練にチャレンジ! 進行側も初めての試みで手探りながら事前準備を重ねました。

※ちなみに、前回2019年には机上訓練を行っています。オフラインで顔を合わせて議論するのは、コロナ禍の今、弊社ではなかなか見られない光景となりました。

訓練開始!

メンバー間の議論、事務局からの連絡など全てオンラインで実施しました。

  • 各シナリオに対して、具体的にどのような対応をとるか議論し、意思決定する(Zoomを利用)
  • シナリオごとに、 行動記録として議論内容を登録する(kintoneアプリを利用)

参加メンバーは、社長をはじめ、運用本部、開発本部、法務、広報など、関連部署など13名。

いざ、訓練開始です! 前半、後半で2回訓練を実施しました。

まずは腕慣らしに、Webサイト改ざんについてのインシデントを想定したシナリオを提示しました。 自社サイトから告知ができない場合の対外向けの対応などを議論します。

後半は、社内システムからの情報漏えいという最悪のシナリオを提示しました。 今回はインシデント発生に加え、関係者全員がリモートワーク、さらには社長や開発本部長が一時的に不在という前提条件を提示し、どんなタイミングでどのような意思決定が必要か?を議論しました。

社長は出張のため移動中、開発本部長は電波の通じないところでバカンス、 参加者は全員在宅勤務をしています
シナリオ前提条件。あなたならどうする?

対外通知、メディア対応、法的措置、調査依頼のタイミングや内容など、短い時間の中で次々と出てくるイベントに 「自分/自部門ならどう対応するか?」を考えていきました。

振り返り

2回の訓練が終了し、皆さんで感想や課題を振り返ります。

訓練実施後の振り返りをZoomで実施している写真
振り返りタイム

  • どの部署がどんなアクションを取るかを知ることができて有意義だった
  • 訓練とわかっていても時間制限がある中で議論していくのは難しかった
  • インシデント対応フローを知らなかった
  • 次は情報がオープンなサイボウズならではの取り組みをしていきたい

課題も含め、メンバーからの気づきを得ることができるいいきっかけになります。

まとめ

日常業務で私達は、いざという時の対応手順やセキュリティルールを検討していますが、頭のどこかで「本当にこの手順でいいのだろうか」という疑問と向き合っています。インシデント対応訓練は、様々な立場のメンバーが連携してインシデントを疑似体験してもらうことで、想定していなかった気づきを得ることができました。

参加メンバーにとっても、当社で求められているセキュリティについて考えるいいきっかけになったと思います。今回訓練を通じて見つかった課題を議論し、有事に強いチームづくりを目指していきます!

最後までお読みいただきありがとうございました。

セキュリティ室では、一緒に働く仲間を募集しています。

キャリア採用 クラウドセキュリティ認証対応 | サイボウズ 採用情報(新卒・キャリア)

興味のある方はぜひご覧ください!