メディア記事

自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。

バズる指数ピーク 1,194

 twitterコメント 667件中 101~200件
トラウマものだけれど、「予め訓練と知らされた訓練ではヌルい」と、弱点をストレートに突く発想と実行力に敬服する。
記事中のこれ、Slackに「草」ボタンってあるの?
訓練DBとおもたら本番でした🙏
これはヤられたらビビるわ…
こんなん心臓飛び出るやろ。
技術的対処も大事だけど、情報連携も大事。

かなり本格的に自社で演習してるのに感心した。
効果絶大ですね!
セキュマネとった時にCSIRTの勉強したけどいやはやこれはすごい
ニセモノの本番環境にすりかえて全社を混乱させるセキュリティ部門スゲーーー(クラウド環境だからすり替えができた)
起きている「全て」を「正確に」把握するのって難しいよね…
こういう実践的な訓練が強い組織を作るんだな。
めちゃめちゃおもろいし参考になる
やってみたい。
ハッキングの避難訓練面白いですね。
怖すぎて読むの躊躇ったけどめちゃくちゃ面白かった
実際体験してみないとわからないことも多いし、特に従業員の意識は説明や指導ではなかなか変えることはできないから、ここまでできるのは恐ろしいけど素晴らしい。
吹いた。
まぁ、自社サービスだからこそこういう訓練が出来るね。
ロックだ…🐻
自社内の訓練とはいえ、ここまでしっかりやるのすげぇな…
予定された訓練じゃないのは大事だけど、社員からすれば突発で自作業以外の事が発生するから悩ましい
これ凄いよね。
1次バックアップ消してのスタート
「やろうと思えば全環境をクラウド上に複製し、訓練環境を作ることができる。これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない。逆に言えば、こうした訓練を日常的にやりたいなら、クラウドネイティブにならざるを得ない」
ハッシュ値もコード署名もなくWindows Defender Smart Screenに「危険」判定を食らうソフトを「いいから入れろ」という某所とは雲泥。
これ中々に時事ネタ
社会インフラを支える企業は定期的にセキュリティやシステム障害の訓練をすべき。
地震、火事の避難訓練と同様な扱い。
なんだこれすごい
なるほど今どきの災害(?)訓練だなあ。
つよい
身代金をBTCで要求してるところがリアル
いざ起きたらめちゃくちゃアタフタするだろうし、訓練は大事だなー
興味深い話なので後で読むメモ
セキュリティの一番の脆弱性ポイントは人なので、こういう訓練は大事。
起こった時にどう対処すればいいかみんなが知っていれば、被害も最小限に食い止められる。
データで商売しているところはこういう訓練はやったほうがいい。
直接関係ないけど、slackに「草」のリアクションあるの、社内の雰囲気良いんだろうな。
後で読む
もんげー!!!
ウチなんか 怪しいメールは開くな!開いてもリンクを踏むな!の生ぬるいエンドレスリピートやw
訓練のために模擬環境を作って動線を見てるのすごいな。こうやって顧客の情報を守ってるのか
freee すごいなぁ。ここまでやるのか
コレ、仕掛けてる方は内心楽しくてしょうがなかったのでは🤤
これに似せて障害訓練を出来る会社は少ないと思うが、多部署・経営陣を巻き込んでの障害訓練は必要と思う。特にみずほ銀行はな
すごい…
コレは興奮する。
インシデント対応訓練はこの位のシナリオで実施すべきという良例です。机上訓練では見えてこない課題が検出され、企業のレジリエンス向上つながります
う、ううう。
胃潰瘍再発しそう(前職SE並の感想)
論文のセキュリティインシデントのネタに最高だと思います!
訓練するなら、このぐらい実施しないと意味ないですね!
たださんすご!
エグすぎて自分が経験したわけでもないのに大泣きしちゃった
これはなかなかのエグさ…… もし自分が現場の担当者だったら一気に白髪増えそう:( ;´꒳`;):

でも利用者の一人としてはこの危機管理が頼もしい気も。
中身を読むと、これはかなり面白い。ここまで出来るのは凄いけど、規模の大きすぎる会社でやったら影響半端なくて死にそうだな
えぐwwww
事前周知ってどの範囲にどれくらいの内容でしてたんだろ
自らで負荷をかけるから、新たな気づきから強くなる。
逆に、普通は弱いので自らで負荷をかけることができないというのが現状。
リアリティありすぎる訓練。事件は会議室で起きてるんじゃない現場で起きてるんだ!
一瞬が命取りに🤔
なるほどとは思うけどキツすぎw
この記事を見て読み返しました
クレイジーすぎるだろ!!笑
ヴェロさん(
ワシもfreeeユーザーなのでこういった姿勢はありがたい。
ガチ過ぎて信頼できる
疑心暗鬼の人www
想像しただけで恐ろしい。これを訓練でやられたら、確かにトラウマだわ。
強烈な印象をこのして社員のセキュリティ意識は高まったが、「また訓練では?」と疑心暗鬼にとらわれる社員まで出てしまったとか。

社内で傍観していましたが、事前に本番ではないこの環で何か起こるから覚悟しとけとアナウンスがされていて、脅迫文はじめあらゆるコミュニケーションは訓練であることを明示されていました。疑心暗鬼の人も元気です
ちょっと待って!
うちの会社、セキュリティ対策完璧かもしれない。
まず業務用データベースが存在しない。プロジェクトのスケジュール管理は、各個人が自分の担当箇所を追加してExcelファイルの関係者へバケツリレー。常にコピーが増え続けどれが最新か誰もわからない。
“インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任”
3.AWSの本番環境(を模した試験環境)に不正アクセスし、データベースを窃取。バックアップも消去。
4.社内SNS経由で佐々木大輔CEOに脅迫状を送る。

すごいわ。
freeeさん怖っ(超興味ある)
素晴らしい訓練だと思う
めちゃくちゃ面白いけど心臓に悪すぎる。
大変だけど楽しんでる要素が見え隠れしてるのが良いよね。学びを得るのに楽しみが並走してなきゃって分かってるからなんだろうな
雑な社長なりすましメールで企画書txt.vbsを全社員に送る訓練やったことあって3割くらいは引っかかったの思い出した
すげぇな(語彙力)
ここまで出来るのは意識が高すぎる
「スニーカーズ」って映画があってね
すごい楽しいから見て 出演者もスゴイよ
ウイネベーゴ
できることがすごい!
練習は本番より激しくは基本。
すごい取り組み。
クラウド系サービスの提供や利用してたら他社(ひと)ごとでもない時代だけど。
×「開発チームはどうしても新規開発や機能追加に力を割きたいものだが~
◎セキュリティ開発のリソースがない、評価されない、そもそも承認されない
“レガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない。逆に言えば、こうした訓練を日常的にやりたいなら、クラウドネイティブにならざるを得ない“

いやすごい訓練だし、こういう訓練できるシステムは強い。
つまりはクラウドが強くなるんだろうな…
こちらの件、トレンドに出ていて気になっていましたが凄いですね…弊社も一般的なウイルスメール程度の訓練はありますが…
あー二要素認証のリセットはそうやって…。
くっそ面白いlol
いい話(?)だった。
.
freeeはこういったリスクに対して真剣に向き合ってるのがすごい‼️

とにかく、今のIT依存度が高すぎる時代にITのリスクに対する費用を軽視しすぎ。
これは…すごいなwそして面白い笑!
障害訓練は毎年やらないと監査に引っかかる会社もあるしな…
凄すぎる 経営層ぶん殴るための訓練???
おもろいな
すごいけどこっっっわ
下手な会社でやったら首飛ばされそう
えげつない事やってのけてる。
実践的で好きよ
嫌な訓練だなあ
かなり本格的な実地訓練ですね。大事なのは本気で取り組むことだと思いますので、非常にリアリティのある訓練内容だと思いました。
すごすぎる…
訓練はリアリティが大事
えぐい、やばい、すごい(語彙力)
とんでもない訓練してるw
訓練だと言わずに社内で擬似的に障害を起こさせてるんだよね?準備で失敗しそうでストレス半端なさそう。。
トレンドにあったのはコレか。疑心暗鬼になるくらいでちょうどいいんじゃないかとは思うが。それも長続きしないだろうし。
-
貴重。
”逆に現場から大規模障害についての情報が届かない時間帯が発生。経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず”
為になる。
危機管理体制で通報窓口とか対策会議とか敷いてはいても、個別の案件や状況によって動き方は変えなきゃいけない。
もっと細かくケースごとに考えないとな
でも、やらにゃね…。

▽ 'ω') 客先も訓練で2人ぐらい病んでた。
イベント登壇で社員さんとご一緒したことがあって、何かよそと違う雰囲気がありましたが、これは…
確かに、クラウドネイティブな会社だからできた訓練。。。
すごい訓練やってるな、とても良い取り組みだけどこんなんやられたらマジで焦るわ
タイトルとURLをコピーしました