見出し画像

サーバーに接続できず、画面には身代金を要求するメッセージ……そのときあなたはどうする?【疑似セキュリティインシデント・ワークショップ】

JBCCホールディングス(JBCCグループ)

ある日出社すると特定の業務サーバーに接続できず、パソコンの画面には身代金を要求するメッセージ……あなたが情報システム部門の担当者だったら、こんなとき、どうしますか?

こんな想定で社内向けの疑似セキュリティインシデント・ワークショップを実施しました。ワークショップを通じて、セキュリティ分野に対する社内の意識と知識のレベルアップを目指します。

JBCCグループは、企業のセキュリティ対策支援に力をいれています。今回、ワークショップで解説役を務めるのは、JBCCグループでもトップクラスのセキュリティエンジニアです。学びの多かったこの取り組みをご紹介します。


疑似セキュリティインシデント・ワークショップの流れ

今回のワークショップは、参加者が架空の企業の情報システム部門担当者として、インシデントの対応に当たるというもの。状況やシステム構成などの情報が事前に共有され、4~5人ずつのグループに分かれて対応策を考えます。

オンラインで実施、初心者OK!ということで、セキュリティ部門に限らず、SEや営業職、スタッフ部門など、さまざまな所属のメンバーが総勢60名、全国から参加しました。
メンバーの経歴も部門も多様で、知識や経験の少ない参加者もいるため、各グループにはセキュリティやシステム部門の担当者などインシデント対応に知見のあるメンバーが入り、円滑な議論をサポートしていきました。

ワークショップ、スタート!

ワークショップでは、Microsoft Teamsのブレイクアウトルーム機能を利用して、グループに分かれて議論しました。
①状況把握、②被害拡大防止、③原因究明の3つの段階、それぞれのフェーズで、確認すべきこと・実施すべきではないこと・意思決定者への報告内容について検討します。

まずは状況把握です。設定された状況は、

  1. 営業本部サーバーへのアクセスができない

  2. 画面に「暗号化されたデータを復元したければ連絡してくるように」のメッセージが表示されている

というもの。事前配布資料から社内のシステム構成や体制図、各サーバーの役割、保存されているデータの種類などを確認します。そのうえで、対応すべきこと、すべきではないことをグループに分かれて話し合いました。

「営業本部サーバーはネットワークから切り離したほうがいい」
「画面に表示された連絡先に連絡するのはNG」
「責任者への報告内容は、ごまかさず、現状わかっていることをすべて伝えるべき」

セキュリティ担当者もそうでないメンバーも、この段階で何をすべきか、何をすべきでないかを検討します。
制限時間の10分はあっという間に過ぎていき、検討時間は終了。再び全体で集まり、各チームの検討内容発表と、セキュリティ担当者からの解説を聞きます。


「こういう状況では、いきなりサーバーをリストアして対処しようとするのはダメですよ」
「まずは該当するサーバーをネットワークから切り離します。そして、ログが残っているか確認しましょう」

セキュリティ担当者からの解説では、確かにこの状況では復旧しようと焦ってリストアしてしまう可能性もありそう……など、知識がないからこそやってしまいそうなNG対応から、実際どう対応すれば良いのか、まで丁寧に解説がされました。

状況が把握できたので、次は被害拡大防止、そして原因究明……と、それぞれに設定された状況に従ってワークショップは続き、全2時間のシナリオを実施しました。

インシデント対応は、「機械のことだけじゃない」という気付き

セキュリティインシデント対応、というと、つい意識が機械のことに向きがちです。
グループでの検討段階でも、「まずはLANケーブルを抜こう!」「ほかのサーバーがちゃんと動いているか確認しよう」といったように、システムがどこまで被害を受けているかを中心に検討が進みました。

そんな中、資料を確認していたメンバーから「この、営業本部サーバーにはマーケティング部門が扱うデータも入っている。もしかして、顧客の個人情報が入っているのでは?」という指摘が。
営業情報だけではなく、個人情報も……となると、対応する内容も変わってきます。今回、システム、セキュリティ、営業、スタッフ、広報……と様々な部署が関わったことで、インシデントに対するさまざまな角度からの気付きを得ることができました。

「情報があいまいな状態で不用意にお客様に連絡しない」
「社内でも、現時点でどういう対応をするか社員と連携する必要がある」
「プレスリリースをどのような内容で、どのタイミングで出すか検討が必要」

システムに関することだけではなく、立場が違うからこそ気付いた内容を盛り込みながら、議論が進みました。

有事に備えることの大切さ

今回のワークショップでは、フェーズごとに順を追って対応策を考えたため、状況を整理して冷静に判断していく良い訓練になりました。自分の頭で考え、冷静な状態で対応を検討する経験は、実際のインシデントに遭遇した場合にも役立ちそうです。

このようなインシデントでは、システムが使える・使えないという観点だけでなく、どんなデータが被害にあっているのか、影響のある業務範囲はどこまで広がるのか、といった「ビジネスへの影響」という観点からも対処しなければなりません。
特に経験が少ない、若手の参加者にとっては抜け落ちがちな視点です。今回は、自分たちで検討するだけではなく、経験豊富なメンバーを擁する他グループの発表を聞くという時間も設けられていたため、ひとつのグループでは気づかなかった視点にも意識を向けることができました。
同時に、「こんなに頼れる人たちが社内にたくさんいるんだ!」と頼もしい気持ちにも。万が一のことが起きても、頼れる先輩が社内にはたくさんいる、という実感は大きな収穫のひとつだったように思います。

JBCCアカデミー:ITの高度技術専門職が講師に

今回のワークショップは、JBCCグループが今期より開始した、高度技術専門職 ※1の社員によって、JBCCアカデミー ※2の一環として実施されました。10月から始まった社内向けの勉強会には100名を超える社員が参加し、クラウドやセキュリティ、AIといった分野について学んでいます。
また、セキュリティ部門では、このような講座の他、11月に主にSEを対象とした、問題解決までのタイムなどを競うコンテストを予定しています。

※1 高度技術専門職:セキュリティやAI等の分野において高スキルを有する社員を認定するもの
※2 JBCCアカデミー:高度技術専門職の社員が講師となり、社内教育の企画・実施、さらには外部のコミュニティ活動への参加、社外の方へ向けた講座などを通じて、IT人材の育成・スキルアップを後押しする取り組み

ちなみに、9月に実施されたAWS勉強会もJBCCアカデミーの取り組みのひとつ。JBCCアカデミー講師の一人である新居田さんの呼びかけで、NECソリューションイノベータ様との合同勉強会を実施しました。

今後もJBCCグループでは、さまざまな活動を通して、社内外を問わず、IT人材のスキルアップに貢献していきます。