【外部セミナー】サイバー攻撃対応机上演習に参加してきました

【外部セミナー】サイバー攻撃対応机上演習に参加してきました

こんにちは。

IT推進室の石川です。

 

先日、アイティメディア様主催の「サイバー攻撃対応机上演習」という外部セミナーに参加してきました。

このセミナーは、グループディスカッション形式で実際にある企業にて発生したインシデントとその対応事例をもとに机上演習を行うものでした。

(演習の詳細は、アイティメディア様のご要望により控えさせていただきます)

 

机上演習は以下の流れで実施

  1. お題提示
  2. 10分間グループディスカッション
  3. 各グループ発表
  4. 次のお題提示

 

第一報を受けての初動

突然、ファイルが開かないという問い合わせから机上演習がはじまりました。

ファイルが開かない!!とは??

ここで考えたのが、どこのどのファイルが開かないのか。ということを考えました。

ローカルファイル、ファイルサーバ、添付ファイル・・・・・???

ローカルファイル、添付ファイルの場合であれば、個人環境に依存するため実際に目視確認などが必要ではないか。

ファイルサーバということであれば、自身のマシンからファイルにアクセスを行い状況を確認する。といったことができると思いました。

 

まずは、事実の正確な確認が必要。

 

次々と新たな情報がもたらされる中での状況把握

「ファイルが開かない」というのは、一人の従業員だけではなく他従業員でも発生していることがわかった。

他従業員でも発生している。

単一ファイルの問題ではなく、ファイルサーバ全体の問題ではないか。

ここで取るべき行動として、全社的な業務に支障が出ているのであれば、CISO、経営者へ報告を上げるべきではないか。

ということで、「原因はまだ不明ですがこのような事態が発生しております。」という報告はしておくべきと考えました。

 

並行してログの確認、ならびにバックアップから復元可能か。

ここで「ログの確認」というところですが、よく何か問題があった発生すると、ログを確認!!って言われますが、実際このような事態が発生した場合、どのログを確認すべきかわかりますでしょうか。

えーーーーーーーと。私は、わかりません。(申し訳ございません。)

 

思い浮かぶのは、アンチウイルスソフトのログくらいです。

でもここでは、ファイルサーバのログなども確認が必要だと思いましたが、実際どのログを確認すべきなのかというのは、決めておく必要があると思いました。

 

事前に実施すべきこと、確認すべきログを明確にしておくことが大切だ。

 

現場のエンジニアとのコミュニケーション

ログからウイルス感染が原因と判明した場合は、被害拡大を防ぐために外部との通信を止めるという行動が必要と思いました。

その後、全従業員の端末、ファイルサーバに対してはウイルススキャンを実施し、被害状況の把握、必要に応じて端末の初期化などの対応を実施すべきと考えました。

バックアップから復元が行えれば、それが一番だと思うのですが、バックアップもやられてしまったということを前提とした場合、初期化する他対応がないと思うため、一刻も早く業務継続ができるよう関係者を集めて対応策を決定する必要があると考えました。

 

事前の準備と社内合意を行っておくことにより、緊急時に関係者を即座に集めて対応策の検討ができるようにしておくことが重要。

 

フェーズごとの意思決定とアクション

この机上演習では、各フェーズごとにいろいろな問題が発生し、そのフェーズごとにすべきかことが発生。「フェーズごとの意思決定とアクション」まさに事業継続計画ではないですか!!

実際に感じたことは、事業継続計画は作って終わりではなく、作ってからが重要であることをこの机上演習で改めて感じました。

 

事業継続計画は作って終わりではなく、作ってからがスタート。

 

謝罪会見の前に整理すべき情報

この机上演習では、謝罪会見に至るまでを想定して演習を実施してくださいましたが、最近の謝罪会見を思い浮かべますと、本当に実施すべきだったのか?という謝罪会見が多く見受けられ、まずは専門の方に相談を行った上で、実施するしないを検討してもいいのではないかと思いました。

 

謝罪会見は本当に必要なのか!!

 

まとめ

今回の机上演習で学んだことは

・初動対応の大切さ

・エスカレーション

・事前の準備と社内合意

・事業継続計画は作ってからがスタート

ということが一番大切だと思いました。

 

上記は、私個人の意見、感想であり、他の参加者の方からはもっと「ほーーーー」、「うんうん」、「そういう考え方があるのか」という意見がたくさん出ており、非常に参考になりました。

 

また、このようなセミナーに参加する機会がありましたら参加したいと思います。

 

「本イベント(サイバー攻撃対応机上演習 CIO/CISOのためのインシデントハンドリング)は再演の予定があるので興味のある方は参加を検討してみてはいかがでしょうか?」