いいな。

上も下も隠したり他人のせいにして結局社内の空気がダメになる企業多いからな
でも自分がやられたら吐血しそう

これが大袈裟だと思っている経営者は思考回路が平成か下手すると昭和までで止まっているのかなと思う。

これは凄い。

これすげーよ

こういうことをやることで明らかにセキュリティに関するノウハウが貯まるから、某みずほ銀行みたいな情報錯誤が起こるリスクを避けられそうですね。

おもろいな

従業員がPTSD発症したら、会社はきちんと労災を払って欲しい

> 開発チームは、標的が使っているソフトウェアなどを狙う「サプライチェーン攻撃」がトラブルの発端になったことを踏まえ、使っているライブラリの脆弱性を再確認した。

インシデントを体験することでセキュリティ意識が高まる良い事例！ぜひfreeeの方とお話してみたい！

freeeの訓練凄過ぎる。
確定申告はfreee使えば良かったかも。

ほおぉ… しかし、これからはどこの企業でもこういうことやった方がいいのかもねー >>

障害訓練は計画もさることながら環境への仕込みが結構大変なので、クラウドで本格的にできるのが羨ましい。

これおもろいなw

>ちょっとしたことでも「これはまずいんじゃないか」と周囲に報告できる環境
>仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任

イヤすぎる笑／

既に人質なんて古い！
質にするならデータや！！

こういう事できる会社は体力があって良い会社なんだろうな。詳細はあとで読む。

よさそう

えぐい😂

すごい、けどトラウマは… 😭

形骸化しない正しい訓練なんだろうけど、こんなの100％トラウマになるわ。記事読んでるだけでも居た堪れない気持ちになる。

予防的な統制よりも発見的な統制か。たしかに重要だなぁ。

これ最大クオリティの訓練ですごいな。
経営層も巻き込んでるのが最高だと思う。

面白い

すごいな〜〜〜〜〜…
タイトルはちょっとぞっとするけど中身は本当に素晴らしい

海外で社長がホームレスに変装して面接受けたり買い物したりして従業員の対応見るのもあったなぁ。
対応良かった人は昇給して態度一変した奴は降格してたな。

メールの文面で、CEOには訓練とわかる。完全にマスクした訓練なら社員間に禍根が残りすぎてやべえな……と思ったけど（今もしんどそうな人にはケア必須です）。

すごい良い >

メールの文面で、CEO了解済の件とはわかる。完全にマスクした訓練なら社員間に禍根が残りすぎてやべえな……と思ったけど（今もしんどそうな人にはケア必須です）。

"freeeではほとんどの情報がクラウド上にあり、基本的には全てクラウド上で業務が完結している これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない"

IPAの啓蒙動画で
Securityコンサル装った人が
訓練を装いスパムメール送り
従業員が開封する様を経営者と見る

スパムから情報抜いた人がビルを出る時
本物コンサルとすれ違う
と言うのがあった

これすごいなあ。力強い。

メールの文面から、CEOには知らせていたんだ。完全にマスクした訓練なら社員間に禍根が残りすぎてやべえな……と思ったけど（今もしんどそうな人にはケア必須です）。

ここまでやるってすごいと思うし、こういう経験談やノウハウが赤裸々に共有されていくのは、日本全体としてありがたいですね

問題点の洗い出しにはいいけど、ほんとトラウマになりそう。
実際15年前に工場内に蔓延して2徹した上、サーバ止めまくりなの忘れられない。

これはトラウマになるわ.....…一番寿命が縮んでいるのは仕組みに口出せない層の人だったりしないのかな

>
セキュリティ意識が上がったって話か。よかった。
サイバーセキュリティの世界は、本当重要でウクライナロシア戦争ではそこまで報道されないけど、戦争にすらなるもの

クラウドへの移行が進むに伴い、セキュリティ対策も変わっていく。従業員はトラウマに＝ゼロトラストセキュリティの考え方が主流となっている理由として説明できる。

確かにすごいけど、実際やろうと思ったらものすごい労力かかるから中々やれないな…

こういうの大事
会社だけじゃなくて個人レベルでも意識必要

普段からの意識を向上させる狙いとしては、訓練として実施するおもしろいなぁ。実際に被害に遭わないようにするため、被害に遭っても対応できるようにするための準備ができる

やめて〜

経験値は大事だなぁ。

下手なサスペンス映画よりタチが悪い訓練だな。
でも犯罪対策にやり過ぎって事は無いから国のマイナンバー制度にもやった方が良い。
自社DB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏

これはドキドキもんですな……

本格的訓練

「今回は、セキュリティインシデントに対応する社内組織「CSIRT」のメンバーが運良く極秘ミーティングに加わっていたことから、この人物を通して大規模障害の情報が経営層に伝わり、数時間程度での復旧につなげられたという。」

セキュリティリスクへの対応は時勢によって変わってきます。新たしい情報の収集と正しい理解は最低限として、対応を円滑に行うためのコミュニケーションづくりは不可欠ですね。

そこまでやれるのスゴい

これは怖い…凄い訓練だ。

たださん、いまfreeeなのか。それはつよい。

いいね! この演習は企画したFreeeのセキュリティの人と同じくらい、受け入れたCEOの度量が立派。僕が知る限りFacebookも背筋凍る演習してたけど、ザッカーバーグ直々に「厳しい演習にしろ」って指示されたと聞いた。

freeeこんなこしたんや

こんなんメタルギアのデッドセルじゃん

カオスエンジニアリングの極激辛バージョンて感じ

すごい訓練だな。でもサービス提供側としてはここまで想定しなければならないというのは、理解できる。情報コントロールのバグを突いてくるケースも多いんだろうな。

すごい

IT防災訓練大事だなと思いつつも、現場を想像すると怖すぎて草

身代金の額がリアルやな。4BTCならそこそこの企業だと動かせる金額ではある。

上手いこと訓練したな・・非常に参考になりました。

企業にとって絶対に直面したくない事態を「あえて再現」し、訓練という形で自社のCEOに身代金まで要求した企業がある。

覚悟は簡単に育成できないけど…すごすぎ🥶

>経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず、混乱の要因になった。

これ凄い。
社内には「10/28に何かが起きること」「本番環境としてある試験環境が使われること」だけが周知されていたとのこと。

"freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施"、"経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず、混乱の要因になった"

これ読むと原発の訓練って甘いなぁ。
なんかこう80点が取れるようにお膳立てされてる感というか。

↓柏崎刈羽原子力発電所での例

iFilterでVSCodeのマーケットプレイスへのアクセスが阻まれる近未来が見える。

すごい訓練だ。

すごいな。

こういう訓練ってやるべきなんだろうけど、相当な労力掛かるだろうから本当に実行できるの凄いと思う。

DB破壊した緊急報告したくても、CEO脅されてる極秘緊急会議発生でディスコミュになるって言うシナリオ面白いな🤔

胃に穴空きそう

エグっ😅
いまはクラウドもあるからバックアップのハードルが下がったはずだけど、テープしかなかったときやレイドくんでも3台同時にHDDぶっ壊れるとか地獄だったな😌

経営層が対応極秘ミーティングに入った事で現場との連携が途絶ってのは教訓やな
ミーティングに参加してた訓練チームメンバから情報展開とか、実インシデントだと無理なチートだし

大事ね

これめっちゃいい

興味深い

『社内ツールの利用状況を尋ねるアンケートが送られてきても「疑心暗鬼になってしまっているので、答えていいものか悩んでいる」』は草

これいい。

DBってドラゴンボールかと思ってしまったぼくはバカ。

「経営層と開発チームのディスコミュニケーション」という問題
SNS運用でも同じかと思います。運用企画書で「緊急時の対応」を考えておくのに参考になりますね。

真に迫った訓練だからトラウマもできて、これは一種の資産になる経験だろうな。
警戒が先に立つのは、クラッカー側が最も嫌なことだろうし
社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」（1/3 ページ）

これはすごい...!!

訓練でこれを許可した経営陣も実際に決行した社内組織も凄いな。

すげえな

ここまでやるのはすごいし、今後必要だなーと思ったのだ。

これ実行したことが凄いな……｡

こういう取り組みは興味深いな。

大事な訓練。

それは
良い訓練だね❗

これ読んだことがいい偉い人いっぱいいるでしょ

訓練としてこういうことできる土壌あるのすごいなぁ

セキュリティの基本はまず破壊やからな…彼らは容赦なく現実を叩きつける（震

まずDBが何なのか理解するのに5分以上かかったw最初に思い浮かんだドラゴンボールからなかなか抜け出せなくて…

すばらしいな

自社のドラゴンボールを破壊に見えてしまう人。

一般社員じゃなくて経営陣にやるの凄すぎて草

すげー…

エグい…

これはすごい

あーでも、利用者側としてもローカルで何か資料取っておくべきだよなあ…。
どうしたものか。