研修風景

情報セキュリティ事故対応 1日コース 机上演習編

情報セキュリティ事故対応
1日コース 机上演習編

実践的な演習を通して
事故対応の本質に迫る「気づき」が得られます

「訓練」ってどんなことをするの?

情報セキュリティの研修ってどんな事をするのか、イメージし難いですよね。
一例ですが、情報セキュリティ事故対応1日コース 机上演習編コースの流れをご紹介します。

座学『インシデントレスポンス概論』

そもそもインシデントレスポンスとは何か、インシデントにどう対応するべきかを座学で学習します。

インシデントレスポンスを4つのフェーズに分けて、それぞれの目的を明確にするとともに、原因の調査や組織内外へのアプローチにおいてどのように行動すべきかを体系的に学ぶことで、対応ポイントの知識を得ることができます。

  • 準備
  • 検知と分析
  • 封じ込め、根絶、復旧
  • 事故後の
    対応

ルール説明『訓練の進め方と前提条件の説明』

訓練は、発生した事象と仮想組織の資料を利用して、事故の収束と復旧、また再発防止策の検討をシミュレーションスタイルで行います。

受講者はCSIRTとして、4~7人でチームとなって対応。訓練を開始する前に、仮想組織の概要やシステムおよびネットワークの構成といった前提条件を確認して訓練に参加します。

訓練の流れ。第一報、講師から事故の発生を予感させる情報が渡される。受講者は与えられた情報が本当に事故かどうかの分析を行い、情報収集や対策といったアクションを講師に対して行う。アクションに基づき、講師は各種の情報を返答。以降、回答を元にフェーズに沿ってインシデントレスポンスを進め、復旧を目標に対応します。

さあ、訓練をはじめてみましょう!
従業員に不審なメールが届いたと報告があったようですよ。

訓練『インシデントレスポンス訓練』

訓練シナリオは、スタートするまで開示されません。受講者はCSIRTの一員として情報を受け、メンバーと対応方針を決定し、関係者(講師が複数兼任)と連絡を取り合いながら、インシデントの原因、被害状況を特定、事業の復旧を目指します。よって、展開や結果がチームのアクションによって異なるのがこの訓練の醍醐味。ここでご紹介するのはその一例です。

CSIRTの定例会議中、「社内で違和感のあるメールを受信した人がいるようだ」という、モヤッとした情報が寄せられます

1インシデントの検知と分析
舞い込んだ情報は事実か?すでに問題が発生しているのか?現状把握のため「依頼票」を使って調査を開始。複数の人が同様のメールを受け取っていることが判明したので、メールの正体の追究に着手しました。
インシデント発生時の
検知と分析ポイント
対応時間の短周が被害の最小化につながります。
チームでコミュニケーションをとって積極的にアクションし、効率的に情報を収集できる事がポイントです。
2封じ込め・根絶
メールの正体の追究と同時に、被害をこれ以上広げない対策にも着手しました。
インシデント発生時の
封じ込め・根絶ポイント
原因調査をする前に、まずは被害を拡大させないための封じ込めを優先する事が重要です。

ここで新たな問題発生!情報漏洩が疑われる報告があがりました

3インシデントの検知と分析
最初と同様に真偽や現在の被害状況を把握するとともに、2つの問題は無関係なのか、関連しているならどの部分か、さらに被害を最小限に抑えるにはどうすればよいか、チーム内でさまざまな意見を出し合い、その都度、アクションを起こしました。
被害発生時の
検知と分析ポイント
あらゆる状況や原因を想定しましょう。
経営者や外部にいつ伝えるかも大きなポイント!
アクションの有無が流れを大きく変えます。
4封じ込め・根絶
次々にやるべきことが増えて、ややパニック。事業を継続するか、一旦ストップするかでメンバーの意見が割れ、行き詰まる場面も。
被害発生時の
封じ込め・根絶ポイント
作業分担などチームワークが必須。
情報や状況をホワイトボードなどで整理し、共有する事が重要です。
5復旧
インシデントで迷惑をおかけした取引先や顧客に対するお詫びの仕方と、早急な事業再開の手段を考えました。
復旧時の
ポイント
これまでの対応が失敗するとクレームが殺到することも。
常にビジネスに対する損失を考慮して、状況に適した対応しましょう。
仮想組織のCSIRTメンバーとなり、
話し合いながら、対応を決めていきます
起こった出来事を時系列に書き出し、
情報の共有をはかります
情報収集や対策といったアクションは、
「依頼票」を使って、講師に依頼します

振り返り

訓練終了後、対応の方法や内容が適切だったかを振り返り、得られた気づきを発表できるように議論してまとめます。

発表

振り返りのまとめを各チームの代表が発表します。
さまざまな方法や考え方があることが理解でき、気づきが広がります。

各チームに1人ずつ講師が付き、アクションや状況によっても対応がさまざまですから、
同じ1本のメールから始まったインシデントでも、収束への道筋、着地点が異なります。
それには正解も間違いもありません。
大切なのはこの演習を通じて、どれだけの気づきが得られたかです。

教育ご担当者様の声

新任のCSIRT要員はもちろん一般社員にも、いざセキュリティインシデントが発生したときにどのような対応が必要かを実践的に学ぶ機会が必要と考え、受講を勧めました。セキュリティ関連はとっつきにくいイメージがありましたが、「楽しい演習だった」と、良い反応が返ってきており、実際、日々の業務においてもセキュリティへの関心が高まったと感じています。また、演習で扱ったセキュリティ事故が実際に発生した場合に備え、受講で得た学びを活かして、インシデント対応マニュアル、チェックリストなどの見直しを実施することもできました。今後も、参加者を変更しながら、継続して受講させたいと考えています。

受講者様の声

  • 座学でインシデント対応の基礎から一連の動きをわかりやすく学んで演習に入ったので、理解しやすかったです。
  • 脱出ゲームのような訓練でとても楽しく勉強することができました。
  • その場で、自分たちで考えアプローチをすることによって理解が深まりました。
  • 講師の「こういう場合はどう対応する?」という視点+アドバイスが明確。答えを教えるのではなく、答えが出るように導いていただけ、とてもよい勉強になりました。
  • 実際にインシデントが起きたときは、CSIRTメンバーだけではなく、いろいろな部署との連携が大切だと気づきました。
  • 事故が起こった時、多くの人が関わること、決断を下す責任の大きさが分かり、2手3手先を見据えた行動が必要だなと感じました。

選べる研修&受講スタイル

各2つの研修形態と受講形態を組み合わせ、受講者様のニーズによりマッチしたスタイルで受講することができます。

研修形態

オープン開催 個社向け開催

開催日程を設定し、参加募集をして実施する形態です。複数の企業・団体からの受講者が参加されます。

費用:
132,000円(税込)/ 1名

単一企業向けの研修。希望の日程、受講形態をご指定いただく形になります。

※座学パートを事前にオンライン受講(動画)していただくことで、開催時間を短縮することも可能です。

研修形態

対面集合 リモートライブ

弊社会場(永田町)にお越しのうえ、受講していただきます。

インターネットを利用して、Live配信で受講していただきます。

サービス紹介動画

こちらもおすすめ!

情報セキュリティ事故対応2日コース 実機演習編

ファイアウォールやサーバで構成された実機環境を使用し、実際に事故が起きた想定で2日間にわたって演習を行います。

詳しくはこちら

研修・講座についてのお問い合わせはこちら

お問い合わせ