メディア記事

自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
AWS上のDBからデータを盗み出し、自社のCEOに社内SNSを通して身代金を要求する障害訓練を行ったfreee。従業員にトラウマを与えたというこの訓練には、どんな目的があったのか。キーパーソンに実施の背景や効果を聞く。

バズる指数ピーク 1,194

 twitterコメント 667件中 301~400件
たぶん、これをやったら普通に損害賠償請求が飛んでくる。。。
すげえ
こんな訓練されたら会社辞めるわ。
"このシチュエーションをあえて再現し、訓練という形で自社のCEOに身代金まで要求した企業がある。クラウド会計サービスを提供するfreeeだ"
この記事から学んだ
これくらいの訓練がもう必要なんだろうな
東映アニメーションもやっとけば防げたのかもね
なるほど、freee社のslack、「草」スタンプが常用されているんだなあ。
freeeのセキュリティ訓練の記事、非常に面白かった。他にも流用できそうな重要なキーワード→「予防的な統制よりも発見的な統制」:「予防的な統制よりも発見的な統制を取ることで、スピード感を損ねずに端末を守り、インシデントを減らすことを重視している」
対外的には美談になってるけど内部的には実はアルティメットクソ案件な匂いを感じる
(実際どうかは中の詳しいことを知らないとなんともいえないよ!)
これ賞賛されてるのマジで意味わからん。従業員にダメージを残す訓練はするべきではない。いくつか似たシチュエーション考えて想像するべき。
私もこういう訓練はぜひ攻撃者になりたいwww

【実行する方は楽しいw】
訓練がマジ過ぎて凄い。
どういうプロセスを踏んで実施に辿り着けたかの方が気になりますよ。
やりすぎやろ
個人的にはすごく衝撃的なニュースでした。
賛否分かれる部分もあるかもしれませんが、「練習のための練習」になりがちなセキュリティ訓練よりも何百倍も効果があるだろうな、とは思います。
クラウド上で全ておまかせは、まだまだ私には不安しかない。
かなり興味深かったので詳細のレポートとかあったら見てみたい
これは興味深いな。「遊びの時間は終らない」的に。
訓練は実戦の如くとは言うけれど
業種毎に方法を考えればビジネスになるかも。
トラウマになるほどの訓練って…
ある意味、訓練計画を策定した人達への最高の褒め言葉とも取れる気がしますね。
是非とも詳細を見てみたい!
おもろい。
クラウドネイティブだからこそ、まるごと複製して訓練環境つくれるってのがおもろい。
物凄い話だな…トラウマて
でもfreeeは金融系サービスだからそこまでやらんとやばいんだな
そしてクラウドネイティブの利点!
ンッフフ。 全員のトラウマになる位でないと、セキュリティインシデント対策としては足りないと言っていい。
一番最後辺りのやつ、どの組織でも、失敗を少なく、あるいは小さくするためにはとても大事な事だと思う
あと社内SNSで草が使われてて草
読み物として面白い🐸
これぐらいの緊張感があると訓練の意味が十分あると思う。すごい。

「freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施。AWS上のDBからデータを盗み出し、バックアップを消した上で、自社のCEOに社内SNSを通して身代金を要求」
“本番環境(を模した試験環境)に不正アクセスし、データベースを窃取。”
え、全従業員に本番環境を錯覚させたということ?凄い訓練だ。。。
freeeと言えばオモコロのやったー!の記事のクライアントなのでそもそも好感度が高い…そしてこの訓練はすごい…
これはもうトラウマ
従業員も経営者も
よっぽど情報システム部が有能か、仲が悪いかどちらか
もしくは、これも含めてシナリオ通りか
デスノート関わってる?
読んだ。
↓これ重要だ。
「クラウドネイティブだからできた訓練だった」

政府、自治体はほとんどがこのレベルの訓練ができないってことだ。
はてブトップで見出しが「〜本当にやったクラウド」で切れてるからすんごいびっくりした(訓練ね 訓練 訓練 身代金要求です
これは激しい😅
似たようなことあったなぁ~
セキュリティ研修の翌日に、釣りのウイルスメールが送られてきて、URL踏んだやつは全員呼び出し。
説教食らって再研修→みんな葬式みたいな顔して帰ってきた。
社内の3割くらい釣られてたわ。
すげえ。2FAリセットのソーシャルハックとか通る会社ありそう。脅迫メールに「ハックしたのは反社もしくは女性とトラブルを抱える人物」とかノイズ情報足して心拍数とかサーモグラフィかけるオプションはどうか
最高に面白い。

>
うちの会社でこれをやると、「従業員を騙すなんて酷い」「いくらなんでもやり過ぎだ」と批判のオンパレードでメンタルやられる→
トラウマなんて書くからどんなえぐいことやったのかと思いきや、真っ当っぽい本格的な訓練だった。
いい訓練だけど、普通にチビるレベルだよ〜💦
この記事、めちゃくちゃ面白いし、怖い。こんな障害訓練サービスもビジネスになりそう
ドラゴンボール壊すな
>インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任
えげつない訓練
自社のことながら、こういう組織であることが誇らしい |
すごい、本気さが伝わってくる。
信頼度上がりました。
すげー、これ本番環境で一回経験しとくだけで全然違うだろうなぁ。うらやまC
システムがクラウド環境だから今回のテスト環境を準備できたとは、クラウドの利用について考える機会になる
こっわ
こういう障害訓練もできるのか。すごいなぁ。
コワイワー
多くのエンジニアは驚きを隠せない

こういう会社はまじで成長する!
すげぇこと起きてて草
練習で出来ないことは本番で出来ないからなー
ここまできちんと訓練できているのはすごい。

一方で、「脅迫」「大規模障害」をスムーズに紐づけられるこの規模の組織デザインってどうするんだろう。
IT監査かじってた人間からするとこれが本当の運用管理だなと関心しました。
おもろのためあとで読む
自社のDRAGON BALL破壊…!
これは凄いとしか言いようがない。カオスエンジニアリングのオライリー本よりすごい
すごい。
この訓練を実施したことがすごい。
こういうの軽視されてる気がするけど、超超超超大事やと思う。
これって「本当の火事と思わせて避難訓練する」状態よね。有識者の間では「予告してからやれ」って声が多い。
社内SNSで草って使ってて草
みてる
IT防災訓練・・・いいよね。どこもかしこもやってほしい。
失敗も次への糧にできるし。実際に起きてから考えるよりマシなのよね。
すごいな>
ちょっと酷いなコレ。やりすぎやろ

日々障害対応やセキュリティ対応してるけど、どれだけ神経すり減らすと思ってんだ。
これはすごい。でも本番環境(を模した試験環境)を破壊って、どうやって信じ込ませたんだろう。現場から経営陣にウソのレポートを上げるのかな。実際にサービス止まってないのは偉い人でも見りゃわかるだろうし。
この記事のtdtdsさんが でお話しているのがこちらでございます!
凄すぎる。
この手のインシデント対応練習はよく避難訓練に例えられるけど、こんなんもはや軍事演習じゃん。
経営陣を巻き込んだ障害訓練、素晴らしいですね。
全然美談じゃない。殆どパワハラでしょ。

仮に「相手が泣きだすような恫喝」して「今のは演技・訓練でしたー。驚いた?」
とかいっても取り消せないし、
夫婦仲を試すために「離婚届け」とか出して
本当にこじれてしまっても取り消せない。

まともじゃない。
怖すぎ

すげえ
freee、やることがすごすぎる🥺
訓練環境でのミスを公開し、そこから気づきを得ているのがすばらしい。
クラウドネイティブでないとできない訓練!
当日の第一発見者で障害対応したのですが、ヒリヒリしてすごく良い経験でした。本番環境では絶対やりたくないけど😇
自分ならしばらく寝込む自信ある
すげー訓練してんな
やー、これを訓練で終わらせられる企業文化が凄いです…同じ様なカオスエンジニアリングをやってる会社は何年か前から増えてきたけど、CEOまで事前通告無しでぶち込めるのは凄い笑
めちゃおもしろい
めちゃ強烈
そりゃトラウマにもなるわw
課題洗い出し、リスクマネジメントは必須だし顧客へのPRにもなって素敵!
対応マニュアルの共有とかあったら神(自分ならビジネス化するかもだけど)
すごい。。。
またスゴいことを…▼
問題点の洗い出しは正しいんだが、訓練というよりは実技演習とかもうそんな感じよね
すげー
会社全体のセキュリティ意識向上になりそう。事前に訓練しておくことで色んな発見もありそう👀

マルウェアを仕込み、サプライチェーン攻撃を実施
AWSの本番環境(を模した試験環境)に不正アクセスし、データベースを窃取。バックアップも消去
社内SNS経由で脅迫状を送る
つまりFreee Hardeningですよね
さん さん
2022のHardening(カンファレンスならびに競技会)にぜひご参画いただきたい
昔、こちらの仕事場を内側から垣間見るご縁があった。

正直、もっと基本的なところでやらないといけないことが多い組織だと思う。
たださん写真カッコいい。実際未知の事象に遭遇すると何をどこまで結論出せれば復旧できるかの判断がほんとに難しい=時間かかるので、事前に経験できることが尊い
「解決策を検討する経営層が「もしかすると、同じ原因から派生した関連付けるべき事象が、社内の別のところで起きているのではないか」と、自分で気付けるようにならなければならない」
ごいすー
「自社のDB破壊しCEOに身代金要求」この規模のインシデントを訓練でやってみるのはすごい。トラウマにもなるわ。

防災訓練も、ぞろぞろ階段降りて外に集まって偉い人の話聴いて終わりがちだけれども、このくらいの切実度でやったほうがいいのかもしれない。
ふえぇぇぇぇ…
>社内ツールの利用状況を尋ねるアンケートが送られてきても「疑心暗鬼になってしまっているので、答えていいものか悩んでいる」とSlackに書き込む社員もいたほどという。
かなりユニークだけど従業員の精神的ダメージ大きいな…
この訓練やってみてえ
すごいことやるなあ。
医療介護業界でも参考になる。BCPには心理的安全性が必要不可欠ということですね。
ぱねぇwトラウマてw(´(ェ)`)

「経営層と現場のディスコミュニケーション」
訓練も凄いが、得られた経験や結果が貴重な財産。
下手に真似したらめっちゃ怒られるやつだ
タイトルとURLをコピーしました