2022/03/18 08:55
sho
別に社員はトラウマになってないし(これまでより慎重になっただけ。つまり狙い通り)、抜き打ちでなく訓練実施の予定は全社で共有されてましたからね。
2022/03/18 08:55
sanemat
やりたい
2022/03/18 08:58
suzutaku7
これができる企業は少なそう。羨ましい。多くの会社はこれやったら懲戒されそう。
2022/03/18 09:03
c_shiika
草スタンプすき
2022/03/18 09:03
kei-an
楽しんでそう(仕掛ける側)/関連 www.youtube.com
2022/03/18 09:04
runeharst
訓練として今後求められるレベルなのかという未来
2022/03/18 09:07
srgy
脅迫状担当の人は、モニタだけが煌々と光る暗い部屋でキーボードに向かってカタカタやってほしい(電気点けろ)
2022/03/18 09:10
ledsun
こえー。サプライチェーン攻撃から入ってくるの、ふつうにありそうで、こわい。
2022/03/18 09:10
hdkINO33
“仮にルカワくんのような人が一人や二人いたとしてもびくともしない仕組みや取り組みを、会社としてやっていくことが大事”
2022/03/18 09:11
nakex1
「特に混乱を大きくしたのは『経営層と開発チームのディスコミュニケーション』」「複数の組織にまたがった全社的かつ多層的な障害訓練では、レスポンスの中で想定外のことがたくさん起きる」
2022/03/18 09:13
iga_k
俺たちのtdtds!
2022/03/18 09:16
hazeblog
これ当たり前なの?そんなことない気がするんだけど… "当たり前だが、CEOに脅迫状が届いたという情報を全社に開示するわけにはいかない。"
2022/03/18 09:16
versatile
弊社でもたまにやるけど、しょっぼい内容で、バレバレ。でも一定数引っかかるんだよなぁ
2022/03/18 09:23
smokeymonkey
経営サイドとしてめちゃくちゃ参考になる。
2022/03/18 09:26
iinalabkojocho
コレぐらいやんなきゃだし、Saasは必須だろうねえ。ただし古い会社、大きすぎる会社は出来なさそう。このテストで会社が揉めて終わりそう。「オレはそんなことしない!」なんて怒ってね。。。
2022/03/18 09:35
greenbow
経営陣と現場の情報伝達の遅れはみずほ銀行の障害でも問題になってましたね。こういうのを訓練で発見できたのはいいな。
2022/03/18 09:36
manFromTomorrow
レッドチームテスト当事者はたまったもんじゃないかもしれないけど楽しそう
2022/03/18 09:37
unsoluble_sugar
"社内ツールの利用状況を尋ねるアンケートが送られてきても「疑心暗鬼になってしまっているので、答えていいものか悩んでいる」とSlackに書き込む社員もいたほど"
2022/03/18 09:46
koyhoge
たださんの名前が漢字で書かれてるの初めて見たかもw
2022/03/18 09:54
yabu_kyu
「訓練を頻繁にやって、うまく戻らないデータがあったんだけど実はそれを消すのが本来の目的(不正の証拠とか)」という手法を思いついた。監査で激詰めされそうだけど。
2022/03/18 09:55
aliliput
楽しそうw
2022/03/18 09:55
sezemi
tdtds さんはスゴい人
2022/03/18 10:06
call_me_nots
トップが意識高くないとこんなこと出来ひんな。すごすぎ
2022/03/18 10:09
karukaru7
マネーフォワードからfreeeに変えて良かった。(ダイマ)
2022/03/18 10:10
natu3kan
裏切り者や乗っ取られた人が居て、証拠隠滅される前提で立ち回るってなると大変だよな。確かにみずほ銀行は受けた人が担当になる仕組みっぽいから上層部がスルー(www.tokyo-np.co.jp
2022/03/18 10:12
onemuda4
”インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。”
2022/03/18 10:12
n_231
シナリオが本格的だw
2022/03/18 10:17
linus_peanuts
そもそもこういう訓練ができる良い社内環境ってことよね……(って多田さんてtDiaryのたださんなのか!)
2022/03/18 10:22
memoryalpha
“訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあった”
2022/03/18 10:26
bopperjp
クリエイティブな訓練ができるのは良い会社だと思うのと同時に、儲かってるからできるんだろうなと、両面で羨ましい。
2022/03/18 10:30
about42
怖いな(弊社よ
2022/03/18 10:30
siitakke
マネーフォワードにスラップ訴訟かまして惨敗した企業とは思えんな。やるじゃん
2022/03/18 10:35
ignis09
おおー、障害訓練でCEO巻き込めるのか……対象者のスケジュールとかどうやって抑えてるんだろう
2022/03/18 10:41
testedquality
いい。これくらいやりたい。
2022/03/18 10:42
ext3
訓練で良かったね
2022/03/18 10:47
tito1201
興味深い
2022/03/18 10:47
deep_one
「脅迫状が届いた(略)極秘ミーティングを実施し(略)しかしミーティングを開いたことで、逆に現場から大規模障害についての情報が届かない時間帯が発生」なるほど…実際に起きそう。
2022/03/18 10:51
dreamzico
バックアップを破壊されうるような場所に置いていること自体が間違ってると思うが。
2022/03/18 10:56
medihen
"freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施"、"経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず、混乱の要因になった"
2022/03/18 10:58
dominion525
たださん、いまfreeeなのか。それはつよい。
2022/03/18 11:00
onk
開発チームに閉じないようにとか、CSIRT の社内認知向上とか、狙いが良い
2022/03/18 11:01
TownBeginner
すごい訓練だな。でもサービス提供側としてはここまで想定しなければならないというのは、理解できる。情報コントロールのバグを突いてくるケースも多いんだろうな。
2022/03/18 11:02
sekirei-9
システム面じゃなく、組織やコミュニケーションの問題が発覚した、というのが面白い。
2022/03/18 11:07
Falky
なんか、本番環境を実際に破壊してみた話と思ってブコメしてる人・スターつけてる人がめちゃくちゃおらん?w はてブも変な人間増えたよな、ほんとに…。
2022/03/18 11:10
mayumayu_nimolove
freeeダム訓練
2022/03/18 11:17
Mash
本格的訓練
2022/03/18 11:21
honeybe
途中でただただしさんだと気付いた(👺 / そういえばfreeeに転職してたなぁ / 抜き打ちでやられたら辞表出すレベルでトラウマれる。読んでるだけでお腹痛くなる。
2022/03/18 11:22
anoncom
普段からの意識を向上させる狙いとしては、訓練として実施するおもしろいなぁ。実際に被害に遭わないようにするため、被害に遭っても対応できるようにするための準備ができる
2022/03/18 11:27
stamprally
面白。ワクチンだな。対応の下地を作っている。
2022/03/18 11:28
subaccountx
アンケートに答えることすら躊躇する空気の職場の話
2022/03/18 11:34
timetrain
なんて実践的なことやってるんだ。/そうか、物理サーバぶっ壊すわけにもいかんもんな
2022/03/18 11:36
aceraceae
本格的なのはいいけど、警察が動いたらどうするつもりだったんだろうか。
2022/03/18 11:38
rti7743
結局、身代金の支払いに応じたのか蹴ったのかわからんかった。テープとかのオフラインバックアップがあれば被害は限定されるとは思う。報復でネットにばらまかれるのは阻止できないだろうけど。
2022/03/18 11:41
kz78
"freeeではほとんどの情報がクラウド上にあり、基本的には全てクラウド上で業務が完結している" "これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない"
2022/03/18 11:42
tettekete37564
脅迫文が英語だったらスルーされて大規模障害に集中できてたりして。
2022/03/18 11:45
Nyoho
ただただしさんの漢字名を初めて拝見しました。
2022/03/18 11:45
hapilaki
“CEOに送った脅迫状 ”のキャプチャー画像によると英数字のランダムな組み合わせを知らせるだけで、足がつかずにビットコインの受け取りができるのか。こんな基本的なことすら知らなかったよ。
2022/03/18 11:50
solidstatesociety
公的事業向けにもこんな対策やってますアピールも大事
2022/03/18 11:51
ewiad420
すごいけど、神経すり減りそうなので、当たりたくない…。「なあんだ、よかった」でスッキリ終われずにモヤモヤ残る人はいる気がする。
2022/03/18 11:53
htnmiki
訓練だったことを明かしてしまうと本物ののときにも「訓練かな?」と思ってしまいそう
2022/03/18 11:57
karupanerura
よさそう
2022/03/18 11:59
j_naito
素晴らしいなぁ
2022/03/18 12:00
peketamin
"当たり前だが、CEOに脅迫状が届いたという情報を全社に開示するわけにはいかない" そういうものなのか?
2022/03/18 12:04
fukken
本物のインシデントは滅多に発生しないし、対応した後は疲れていたりして「教訓」を次に生かしづらい。やってみないとわからないこともある。
2022/03/18 12:09
ryosuke134
こういうことをやることで明らかにセキュリティに関するノウハウが貯まるから、某みずほ銀行みたいな情報錯誤が起こるリスクを避けられそうですね。
2022/03/18 12:10
kuborn
いいな。
2022/03/18 12:11
mennmabacon
訓練とは言えここまでできる会社なかなかない。めちゃくちゃ信用上がった。
2022/03/18 12:12
YaSuYuKi
サプライチェーン攻撃、ちょっと考えて、ものすごく怖くなった。ライブラリは相応に疑うが、そのvscodeプラグイン大丈夫ですかとか、間接的な攻撃までは抜けていることを発見
2022/03/18 12:14
ken1flan
こりゃすげぇ…。
2022/03/18 12:17
ducky19999
経営陣巻き込んでるの素晴らしい
2022/03/18 12:21
hisamura75
すげー。社内でこれできるの素晴らしくない?
2022/03/18 12:21
Guro
社内組織機構の問題点洗い出しを、こうした危機対応訓練で行うのは、従業員としてはどうかとおもうよなあ。
2022/03/18 12:22
haatenax
自分の確定申告は完全にfreeeに握られてる。こういうリスクの話聞くと絶対は無いのでユーザーとしても保険が必要なのかなと危機感を抱いた。
2022/03/18 12:24
taruhachi
うーん。ここまでしないとあかんかぁ。正しいんだけど心理的安全性が著しく低いなぁ。敵は社内ではなく社外に作らないと疑心暗鬼から隠す行動にも繋がってしまいそう。
2022/03/18 12:25
at_yasu
「やろうと思えば全環境をクラウド上に複製し、訓練環境を作ることができる。これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない。」
2022/03/18 12:25
rizenback000
訓練で得られた教訓がしっかり書いてあってすごい為になったんだなぁって。
2022/03/18 12:29
waihasaruya
本番環境でやるカオスエンジニアリングかと思った
2022/03/18 12:30
hiroomi
”社内ツールの利用状況を尋ねるアンケートが送られてきても「疑心暗鬼になってしまっているので、答えていいものか悩んでいる」”不便を被るセキュリティなのかと思うと、安心をどう確保するかの検討と。
2022/03/18 12:38
IGA-OS
このレベルで出来るの素晴らしいなぁ・・・実施してるの観察したい
2022/03/18 12:39
hiby
これちゃんとお仕着せの訓練じゃなくてCEOが1日使って対応してんのがいいなあ。そらそうだよな非常時に今日の業務が~とか言っとる場合ちゃうからな。
2022/03/18 12:39
deztecjp
自画自賛という感じで、額面通りには受け取れない。無いものねだりは承知だが、第三者評価がほしいと思った。
2022/03/18 12:44
fortrand
ひゃー
2022/03/18 12:44
sase
すげえ&こええ
2022/03/18 12:53
dekasasaki
ただただしさんだ
2022/03/18 12:54
t_nkjm
価値ある取り組みだけど、もっとよいやり方があったのでは、ともやもやする。
2022/03/18 12:59
AQMS
訓練なら参加者にシナリオと対処方法を渡してやってほしい。まずその通りにできないからそれを突発対応するようにされたい。
2022/03/18 13:03
saitoudaitoku
ガチすぎる。予め予告すると衝撃は少ないが効果は減るし難しいところだが…
2022/03/18 13:04
mouki0911
そう言わないけど起きない前提で考えてるだろ、って経営者多い。お金かけない。障害もクラッキングもおきる前提で考えるべきなのに。
2022/03/18 13:12
ivory105
“経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず”こんな初手で詰んでしまうんだなぁ
2022/03/18 13:15
sisicom
これはすごいな
2022/03/18 13:17
Andrion
本当の障害の9割は再起動or切り戻しで直るので、経営層が毎回出張ってくると報告書やら改善提案やらで逆に面倒になる。結果、本当にどうしようもないときしか連絡しなくなる。
2022/03/18 13:23
kfly8
経営も巻き込むのイイネ。
2022/03/18 13:30
tomex-beta
下手に真似したらめっちゃ怒られるやつだ
2022/03/18 13:35
hevelo
カオスエンジニアリングのすごいやつ
2022/03/18 13:37
mint6626
儲かってる企業は違うねえ
2022/03/18 13:39
yo_waka
たださん写真カッコいい。実際未知の事象に遭遇すると何をどこまで結論出せれば復旧できるかの判断がほんとに難しい=時間かかるので、事前に経験できることが尊い
2022/03/18 13:39
arajin
「解決策を検討する経営層が「もしかすると、同じ原因から派生した関連付けるべき事象が、社内の別のところで起きているのではないか」と、自分で気付けるようにならなければならない」
2022/03/18 13:43
mandel59
すげー
2022/03/18 14:00
shimon_haga
すごいな。客には迷惑かかる訓練だけど、効果は凄そうだ。
2022/03/18 14:01
t_motooka
経営陣を巻き込んだ障害訓練、素晴らしいですね。
2022/03/18 14:05
napsucks
これはすごい。でも本番環境(を模した試験環境)を破壊って、どうやって信じ込ませたんだろう。現場から経営陣にウソのレポートを上げるのかな。実際にサービス止まってないのは偉い人でも見りゃわかるだろうし。
2022/03/18 14:13
shoi
本質に迫ることが許さるマインドってのが経済成長してた時の日本企業のようで。セキュリティに限らず。
2022/03/18 14:14
scorelessdraw
試験環境かと思ったら本番環境だったりして。(実際そんなことはできないようにしてるんだろうけど…してるよね)
2022/03/18 14:16
ototohato
フリーかっけー!そう言う本気の訓練が出来るのってユーザーからしたら安心感あるよね。
2022/03/18 14:51
katchin
 この記事、めちゃくちゃ面白いし、怖い。こんな障害訓練サービスもビジネスになりそう  自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏 「従業員はトラウマに」
2022/03/18 14:57
charlestonblue
後で読む。
2022/03/18 14:59
legnum
すげえ。2FAリセットのソーシャルハックとか通る会社ありそう。脅迫メールに「ハックしたのは反社もしくは女性とトラブルを抱える人物」とかノイズ情報足して心拍数とかサーモグラフィかけるオプションはどうか
2022/03/18 15:06
You-me
はてブトップで見出しが「〜本当にやったクラウド」で切れてるからすんごいびっくりした(訓練ね 訓練 訓練 身代金要求です
2022/03/18 15:20
steam-punk
トヨタサプライチェーンと米ブリジストンで奇しくもタイムリーな話だ…
2022/03/18 15:51
b-wind
こんな訓練されたら会社辞めるわ。
2022/03/18 15:56
daichirata
記事内リンクの公式ブログにあったけど、これだと確かに難易度高くて良い訓練になりそう "社内には「10/28に何かが起きること」「本番環境としてある試験環境が使われること」だけが周知されています"
2022/03/18 16:22
shigekixs
予防訓練は大事
2022/03/18 16:26
waot209
脅迫メッセージに【訓練】ってちゃんと書かれてる。
2022/03/18 16:26
buhoho
楽しそうなことしてるな
2022/03/18 16:27
nuu_n
ただただし?ローマ字で書いたら舌噛みそうな名前。
2022/03/18 16:33
pilpilpil
訓練中のBGMに「半沢直樹」「ミッション・インポッシブル」「エヴァンゲリオン」のどれを選ぶか、で雰囲気がガラッと変わりそう。
2022/03/18 16:35
nmcli
草スタンプいいな
2022/03/18 16:41
mockingbird0619
“しかしミーティングを開いたことで、逆に現場から大規模障害についての情報が届かない時間帯が発生。経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず、混乱の要因になった。”
2022/03/18 16:43
tpircs
本番環境ではないけど、本番環境と同じ構成のテスト環境でデータ自体はある程度本物が入っているんじゃないかな。だから脅迫は真に迫るし、破壊されると何が盗られたかわからず混乱が増す。tdtdsさんすごい。
2022/03/18 16:51
raitu
”インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。”
2022/03/18 16:59
cotbormi
夢でうなされそう。
2022/03/18 17:16
peppers_white
トラウマになるけど必要な訓練なんだよな、まじで今の情勢だとこういうインターネットテロは起こってもおかしくない・・・
2022/03/18 17:21
yamada_shirou
CEOが標的だと結局は全ての対応の責任者もCEOなわけで、CEO個人の訓練にしかならないように思えるけど。「CEOに知られたくなければ」みたいに別の人を脅すなら分かる。
2022/03/18 17:24
anus3710223
ITパスポート受験間近な自分にとってはめちゃくちゃリアルにイメージできる話。逆に言うとITパスポート勉強しなきゃ怖さが分からなかった。ITパスポート平成と令和では難易度全然違うからみんな受けよ
2022/03/18 17:46
tel30
セキュリティインシデントどっきり
2022/03/18 17:51
tinao
こうした訓練を受けて、会社を大事にする経営者は企画した社員を評価し、自分が大事な経営者は企画した社員をクビにする
2022/03/18 17:57
naoto_moroboshi
メールでアンケートなんか答えられなくなっちゃう
2022/03/18 18:07
iwanofsky
こんぐらいやれる会社は、ますます強くなるだろうな。
2022/03/18 18:24
kura-2
なかなか激しいな
2022/03/18 18:49
mrkn
こんな笑顔でトラウマを作り出すとは・・・
2022/03/18 19:12
kirarapoo
メール訓練やると偉い人が引っかかって示しにならかった思い出
2022/03/18 19:29
TakamoriTarou
ただただしし?
2022/03/18 19:54
mohri
多田正さんってだれかとおもったら! (tDIaryの)ただただしさん???!!!
2022/03/18 20:16
yasushicohi
すっごい、本気や…
2022/03/18 20:28
misarine3
トラウマになってる人は業務に支障ないんだろうか?と心配になってしまうわ
2022/03/18 20:37
uxoru
“インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則“ ”仮にルカワくんのような人が一人や二人いたとしてもびくともしない仕組みや取り組みを、会社としてやっていくことが大事”
2022/03/18 20:53
mythm
すごい、けどルカワさんは普通に社員にいたり新入社員とかで来たらちょっと気まずくなりそうだから、実在しない名字にすればいいのに…とは思った
2022/03/18 20:57
mistake3
メール訓練やっただけで怒られる我社でこれやったら…
2022/03/18 21:28
shoh8
これができる環境が羨ましい。そしてより強くなれる環境。
2022/03/18 21:52
nakamura-kenichi
ホンマに企業は定期的にやった方がええぞ。実践が一番理解を促進させるし、何より緊急対応ができる安心感は強い。反対するアホな役員がいてる会社はとっとと転職した方がいい。
2022/03/18 23:00
harvestsignal
すげぇな(語彙力)
2022/03/18 23:55
adsty
シナリオを基に全社的な訓練を実施した。
2022/03/19 00:07
ymrl
社内で傍観していましたが、事前に本番ではないこの環境で何か起こるから覚悟しとけとアナウンスされていて、脅迫文はじめあらゆるコミュニケーションは訓練であることを明示されていました。疑心暗鬼の人も元気です
2022/03/19 00:32
sonots
すごい
2022/03/19 00:32
u_eichi
“仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任“ ほんと、この観念を共有できないと、全くシステマティックなリスク管理の構築が進まない。
2022/03/19 00:33
a446
悪意のある破壊者が組織内に入りこめば再現される可能性があると思うと恐ろしいだろうな。次回は極秘ミーティングの映像と現場の混乱を無音の隠しカメラでいいから映像作品にしてほしい
2022/03/19 01:19
maple_magician
無予告負荷試験……うわぁ……
2022/03/19 12:58
mkusunok
こりゃスゲーな。こーゆー演習を役所や銀行でもできるようになったらな
2022/03/19 20:11
toruhjp
パイセンさすがっす
2022/03/19 22:13
ryouchi
クラッカー「freeeのロゴにeを一つ足してfreeeeにしといたからな」
2022/03/19 22:19
yz_s
せっかくここまでやってるんだから、freeeは「解約時の執拗な引き止め」をやめた方がいいと思う。何年も前だけど、サービス利用をやめようとした時の引き止めが多段すぎて呆れた。
2022/03/20 18:54
tmatsuu
障害訓練いいよ。やったことある。連絡体制の不備などが顕在化して学びがあるので是非やりましょう。
2022/03/20 20:56
iekusup
なるほど。