セキュリティ対策の株式会社ラック

お問い合わせ
お問い合わせ

セキュリティ事故発生時はこちら

  1. セキュリティ教育・訓練

ラックセキュリティアカデミー

【研修風景】
情報セキュリティ事故対応1日コース 机上演習編

実践的な演習を通して事故対応の本質に迫る「気づき」が得られます

訓練ってどんなことをするの?
1座学「インシデントレスポンス概論」

そもそもインシデントレスポンスとは何か、インシデントにどう対応するべきかを座学で学習します。

インシデントレスポンスを4つのフェーズに分けて、それぞれの目的を明確にするとともに、原因の調査や組織内外へのアプローチにおいてどのように行動すべきかを体系的に学ぶことで、対応ポイントの知識を得ることができます。

そもそもインシデントレスポンスとは何か、インシデントにどう対応するべきかを座学で学習します。
準備→検知と分析→封じ込め、根絶、復旧→事故後の対応
2ルール説明「訓練の進め方と前提条件の説明」

訓練は、発生した事象と仮想組織の資料を利用して、事故の収束と復旧、また再発防止策の検討をシミュレーションスタイルで行います。
受講者はCSIRTとして、4~7人でチームとなって対応。訓練を開始する前に、仮想組織の概要やシステムおよびネットワークの構成といった前提条件を確認して訓練に参加します。

発生した事象と仮想組織の資料を利用して、事故の収束と復旧、また再発防止策の検討をシミュレーションスタイルで行う
さあ、訓練を始めましょう!あれ、不審なメールが届いたみたいですよ・・・
3訓練「インシデントレスポンス訓練」

訓練シナリオは、スタートするまで開示されません。受講者はCSIRTの一員として情報を受け、メンバーと対応方針を決定し、関係者(講師が複数兼任)と連絡を取り合いながら、インシデントの原因、被害状況を特定、事業の復旧を目指します。よって、展開や結果がチームのアクションによって異なるのがこの訓練の醍醐味。ここでご紹介するのはその一例です。

story CSIRTの定例会議中、「社内で違和感のあるメールを受信した人がいるようだ」という、もやっとした情報が寄せられます

1. インシデントの検知と分析

舞い込んだ情報は事実か?すでに問題が発生しているのか?現状把握のため「依頼票」を使って調査を開始。複数の人が同様のメールを受け取っていることが判明したので、メールの正体の追究に着手しました。

POINT 対応時間の短縮が被害の最小化につながります。

2. 封じ込め・根絶

メールの正体の追究と同時に、被害をこれ以上広げない対策にも着手しました。

POINT 原因調査をする前に、まずは被害を拡大させないための封じ込めを優先することが大事です。
story ここで新たな問題発生! 情報漏洩が疑われる報告が上がりました

3. インシデントの検知と分析

最初と同様に真偽や現在の被害状況を把握するとともに、2つの問題は無関係なのか、関連しているならどの部分か、さらに被害を最小限に抑えるにはどうすればよいか、チーム内でさまざまな意見を出し合い、その都度、アクションを起こしました。

POINT あらゆる状況や原因を想定しましょう。

4. 封じ込め・根絶

次々にやるべきことが増えて、ややパニック。事業を継続するか、一旦ストップするかでメンバーの意見が割れ、行き詰まる場面も。

POINT 作業分担などチームワークが必須。

5. 復旧

インシデントで迷惑をおかけした取引先や顧客に対するお詫びの仕方と、早急な事業再開の手段を考えました。

POINT 常にビジネスに対する損失を考慮して対応しましょう。
仮想組織のCSIRTメンバーとなり、話し合いながら、対応を決めていきます
仮想組織のCSIRTメンバーとなり、話し合いながら、
対応を決めていきます
起こった出来事を時系列に書き出し、情報の共有をはかります
起こった出来事を時系列に書き出し、
情報の共有をはかります
情報収集や対策といったアクションは、「依頼票」を使って、講師に依頼します
情報収集や対策といったアクションは、
「依頼票」を使って、講師に依頼します
4振り返り

訓練終了後、対応の方法や内容が適切だったかを振り返り、得られた気づきを発表できるように議論してまとめます。

対応の方法や内容が適切だったか議論してまとめます。
5発表

振り返りのまとめを各チームの代表が発表します。
さまざまな方法や考え方があることが理解でき、気づきが広がります。

振り返りのまとめを各チームの代表が発表します。
セキュリティアカデミー 講師 白井雄一郎

教育ご担当者様の声

新任のCSIRT要員はもちろん一般社員にも、いざセキュリティインシデントが発生したときにどのような対応が必要かを実践的に学ぶ機会が必要と考え、受講を勧めました。セキュリティ関連はとっつきにくいイメージがありましたが、「楽しい演習だった」と、良い反応が返ってきており、実際、日々の業務においてもセキュリティへの関心が高まったと感じています。また、演習で扱ったセキュリティ事故が実際に発生した場合に備え、受講で得た学びを活かして、インシデント対応マニュアル、チェックリストなどの見直しを実施することもできました。今後も、参加者を変更しながら、継続して受講させたいと考えています。

受講者様の声

  • 座学でインシデント対応の基礎から一連の動きをわかりやすく学んで演習に入ったので、理解しやすかったです。
  • 脱出ゲームのような訓練でとても楽しく勉強することができました。
  • その場で、自分たちで考えアプローチをすることによって理解が深まりました。
  • 講師の「こういう場合はどう対応する?」という視点+アドバイスが明確。答えを教えるのではなく、答えが出るように導いていただけ、とてもよい勉強になりました。
  • 実際にインシデントが起きたときは、CSIRTメンバーだけではなく、いろいろな部署との連携が大切だと気づきました。
  • 事故が起こった時、多くの人が関わること、決断を下す責任の大きさが分かり、2手3手先を見据えた行動が必要だなと感じました。

選べる研修&受講スタイル

それぞれ2つの研修形態と受講形態を組み合わせ、受講者様のニーズによりマッチしたスタイルで受講することができます。

研修形態

オープン開催 個別開催

開催日程を設定し、参加募集をして実施する形態です。複数の企業・団体からの受講者が参加されます。

費用:132,000円(税込)/ 1名

単一企業向けの研修。希望の日程、受講形態をご指定いただく形になります。

※座学パートを事前にオンライン受講(動画)していただくことで、開催時間を短縮することも可能です。

費用:1,320,000円(税込)/ 1開催(21名まで)

受講形態

集合研修 リモート研修
弊社会場(永田町)にお越しのうえ、受講していただきます。
インターネットを利用して、Live配信で受講していただきます。
お申込みはこちら!

情報セキュリティ事故対応1日コース 机上演習編

情報セキュリティ事故対応1日コース

情報セキュリティ事故対応(PDF)

こちらもおすすめ!

情報セキュリティ事故対応2日コース 実践演習編

ファイアウォールやサーバで構成された実機環境を使用し、実際に事故が起きた想定で2日間にわたって演習を行います。

ファイアウォールやサーバで構成された実機環境を使用し、実際に事故が起きた想定で2日間にわたって演習を行います。
「ラックセキュリティアカデミー」に関するお問い合わせ
お問い合わせ

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

登録する

page top