今年もfreeeの訓練すごいな

Freeeの全社インシデント訓練その2
「漏えいした情報を公開されたくなければ金銭を支払え」という脅迫が顧客企業に届き、freeeからの漏えいが疑われた（メディアにも拾われた）状況を想定。週末か月末での演習。エグい。

これだけ作りこまれたインシデント対応訓練を行っている企業は、ごく僅かだと思います。
例え訓練だとしても、一度経験しているのといないのでは雲泥の差があるはず。

毎年流石だなって感じ

freeeさん、全社の危機管理意識を醸成するよい取組み。金融時代は、爆弾設置の脅迫電話、サーバーダウンなど、シナリオも様々でした。最近は、SNSで発覚→火消しに急ぎ、発信内容を間違え炎上ケースも見られ、「発信リスク」は備えておきたいポイント

情報は漏洩することを前提に準備しておく

それにしても、作り込み方が半端じゃないな

すごい訓練。
「何かあったら…」という不安は日常的なものなので、擬似的にでもチームで向き合った経験は心理的安全につながるのでは。

これすごいよな。去年に続いてやっているということは、毎年やっていくのかな

この現場の様子と、障害対応しているmeetの画面を社内SNSに配信していました。（公務員コスプレで）
とても緊張感のある場でした。

「自分も含め、本部長や現場のリーダー、エンジニア、それぞれが効率的に動けるよう目配せをしていくことが大事だな、という気付きが改めてあった」

「今どうなってるんだパーソン」はあるあるで笑う

[タレ]freeeが包括的な障害対応訓練、今度は「顧客情報漏えいとのツイートがあると問い合わせを受け……」

こういうのは大事ですよね。
例えば、DBのバックアップを毎日取っていても、リストアのやり方がわからない、なんてことは普通にあります。
手順書が用意されていることはもちろん、定期的に訓練しておかないといざという時に動けません。

こうやって訓練して備えるのは、すごく大事だと思います。
事が起こってから「どうしよう？」では、適切な初期対応をするのは難しい。

気になる今日のニュース

QRコードから偽サイトに誘導 「ETCに支払情報が変更」フィッシングメールに注意

この記事をおすすめしました "

新卒3年目にエグめの障害対応に臨場する機会があって心身ともにボロボロになったけどエンタメ的にはちゃんとケレン味たっぷりだった。
世のエンジニアやPMへの応援歌になるような、危機対応のディテールを掘り下げつつ物語として成立(かつ商業的に成功)する作品がほしい。

これは素晴らしいね。在宅勤務が進んで従業員がオフィスにあまりいないことを踏まえると、火災や地震に対する物理的な避難訓練よりも、こういう訓練の方が現実的かもしれない。

あくまで訓練らしいです(笑)

でも、こういう訓練が過去事例をもとに、実行出来る組織ってえらい。

「うちの情報､ から漏れたんじゃないんですか？」 顧客から問い合わせ殺到 ... サプライチェーン攻撃を組み合わせて開発者になりすまし、二要素認証もリセットした上でfreeeの本番環境に不正アクセスしてデータベースを破壊 …

新たな全社単位の課題をあぶり出すことができ、新たに加わったメンバーにいい経験を提供できたとと感じているという。一方で「社員がどんどん増えていく中、年に1回の全社訓練では拾いきれないことがたくさん上がった」と多田さん。

うんうん。素晴らしい取り組みだね。それはそうと、ENEOS法人カードの同期がメンテナンス中のまま１年ぐらい経ってるから早く直して。

「今どうなってるんだパーソン」
名前つけるの良いですねのだ！

すごいトラウマ訓練、、確かに全員の意識が大事だ

企業だけじゃなく一般的にも、防災訓練と同じようにこういうのも必要だよなぁ。
日本は防災意識は高いけどIT意識は疎すぎるから。

ドラマティックな社内訓練を
プロモーションに使うという
戦術がすごい！

freee 社内訓練 情報漏洩

freeeの危機管理は素晴らしいとしか言いようがない。

＜顧客企業の従業員がTwitterに「どうやらfreeeから情報が漏れたらしい」と書き込み…報道陣…が広報に問い合わせてくる＞

今年もすごすぎ。

freeeのクラウド障害演習はエグい。

あるあるトラブルw
“システム障害など思わぬ事態が発生した時の「あるある」として、エンジニアが現場で作業しているところに偉い人が乗り込んできて「いったいどうなっているんだ」と口を挟んでくるトラブルが挙げられる

顧客情報を扱うSaas企業はみんな他人事じゃないですね。

私もSaaS型のツールの会社にいたことがあるので、この手のテストには敏感なんだよなあ。

このシリーズ（？）まじで凄いよね。
「今どうなってるんだパーソン」を防ぐ工夫とか素晴らしい…

すごいな。

避難訓練で自家消火訓練までいかなかった的な状況で終わっちゃったというのは残念だな。

ここまでやるのか

freeeの第二弾訓練

とっても大切ですが、有事に社員がまた訓練？と誤認識しないように…
大丈夫だと思いますが😅

それにしてもこれをやるのはすごいな！

またやったのか

今どうなってるんだパーソン対策大変良かった |

「今どうなってる」と偉い人がやってきて報告するのに時間を取られる案件、あるある。多岐に渡る対策、素晴らしい。

いまどうなってるんだパーソンを防ぐ仕組みをもう少し詳しく

セキュリティ訓練のレポ。見出しだけみてびっくりした。

当社でも障害訓練を実施しようと計画中ですが、シナリオの作り込みなど難しい。freeeの突っ込み具合スゴイ。
-----

CISOが認識していて、かつ10月実施だと分かってるから出来るのであって、そこをすっ飛ばして真似しないように。

流石すぎるな

絶妙な設計でいい訓練だな。新しい人が障害対応経験積めるのもいい。 |

freeeee…、こういう訓練をまとめた教育プログラムをスピンアウトして事業化していいんじゃないかな

この取り組みすごいですね。

何もしないのにこれって迷惑ですよね〜
”作業しているところに偉い人が乗り込んできて「いったいどうなっているんだ」と口を挟んでくるトラブルが挙げられる。障害対応に集中したいのに手を止めざるを得なくなり、余計に復旧が遅れてしまうといった残念な結果になりがちだ。"

プールで泳いだり鯖トーストを食べれば良い

いやー今年もすごいなあ／

これはやりたい。。
いつかやる、、で終わってしまいそう。やれることがすごい。

参考になる

> CISOの茂岩祐樹さん

聞いたことがあると思ったら、DeNAからfreeeに移籍したのか
DeNA時代に上梓した本は読んだことがある

これ素晴らしい。freeeが広報や営業対応も含めた包括的な障害対応訓練を実施。訓練で出来たから実際に対応できるかどうかはわからないけど、訓練で出来ないことは確実にできない。これは災害対応も同じ。

顧客から問い合わせ殺到──したらどうする？freeeが再び全社訓練

昨年に引き続きコスト掛けててすごい

素晴らしい取り込み！！

(｡･ω･｡)ﾉ

毎度すごい。

Reading…

実践的だ

>「今どうなってるんだパーソン」を防ぐ。あぁ...良い視点 & >身代金を支払ってしまった。いるよね...こういう手合い。アホなのと小一時間... | (省略) freeeが再び全社訓練（1/3 ページ）

『前回のシナリオでは、ユーザー対応という会社として一番きついところにまでたどり着いていなかった。そこで22年はそこまで手を伸ばし、もっとしっかり顧客対応を行うための訓練を考えた』

相変わらず危機管理がすごいな。

すごいね

こういう訓練しているところのIT企業見たことない。さすが

大変だったけど、振り返りもしっかり時間とれて良き学びだった

良い訓練をなさってる。素晴らしい！

”いざというときに適切な対処を迅速に取れるよう、全社にまたがる障害対応訓練を毎年10月に実施している”

こういう訓練ができるところが羨ましい……。

もう「ヘルシェイクただ」に改名していいと思う

freeeのセキュリティ事案訓練のレポート。目的をきっちり決めて問題点をあぶり出すシナリオ構築が相変わらず見事。訓練時に本当の障害が起きるドラマとか作れるんじゃないだろうか。

見てる：

ここまでのインシデント対応訓練ができるのはすごい。
自分が、blueteamにいたらキリキリしそうだけど…

こういう訓練してるの凄いよね。

freeeさんの訓練はいいですね。私も参加してみたい。

またただただしさんだ

ITリテラシー高くて羨ましいわ

こういう訓練は大事やね。

訓練、たいせつ。

『対応に取り組み始めるのとほぼ同時に、セールス部門にはメールや電話での問い合わせが複数発生（中略）つなぎ合わせ、適切に対処していくかが問われた』

見てる: "

本題関係無いけど、この記事に出てくる椅子欲しい

障害対応の知見としても参考になる

毎回すごいな、と関心してる👀

"ただ「前回の障害訓練は、ちょっと作り込みすぎたと思っている」と、21年に続き訓練の仕掛け人となった多田正さん（PSIRTマネージャー）は語る。"いったい何tdsなんだ…

訓練すごい

こういうのええな！

今年の訓練だ👀

2022-11-24

「顧客企業の従業員がTwitterに「どうやらfreeeから情報が漏れたらしい」と書き込みを行い、それを見つけた報道陣、具体的にはアイティメディアが広報に問い合わせてくる、といった流れで訓練は進んだ。」 妙にリアリティがあるすごい訓練だ。

こういったインシデントはどの企業でも起こり得るので、日頃から訓練が必要ですね。重要性を強く感じます。

今年も再び

消防の司令室だ👀
"多数のモニターを設置した大部屋「障害ブリッジ」を新設"

これ、本当にアイティメディアの人から連絡してもらったのかなー。じゃないと差出人偽装での攻撃と見分けがつかないし。んで協力の見返りに記事化とか?

「全社訓練は、各部門がそれぞれ必要な訓練を積んだ上で、もっと大きな規模で全社的に動くときにどんな課題が浮かび上がってくるかを見つけることが目的」

これはすごい、社連絡経路を確認するだけで終わらせず、お客様からの問い合わせへの対処方針も含めて全部シミュレーションするのか >

今年はITmediaが先出し(?)です！(なぜ)

これは素晴らしいですね。インシデントっていきなり来るから、訓練しておくことで初動が全然変わってくると思います。真似したい。