自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏「従業員はトラウマに」

2022/03/18 08:55

sho

別に社員はトラウマになってないし(これまでより慎重になっただけ。つまり狙い通り)、抜き打ちでなく訓練実施の予定は全社で共有されてましたからね。

2022/03/18 08:55

sanemat

やりたい

2022/03/18 08:58

suzutaku7

これができる企業は少なそう。羨ましい。多くの会社はこれやったら懲戒されそう。

2022/03/18 09:03

c_shiika

草スタンプすき

2022/03/18 09:03

kei-an

楽しんでそう(仕掛ける側)／関連 www.youtube.com

2022/03/18 09:04

runeharst

訓練として今後求められるレベルなのかという未来

2022/03/18 09:07

srgy

脅迫状担当の人は、モニタだけが煌々と光る暗い部屋でキーボードに向かってカタカタやってほしい(電気点けろ)

2022/03/18 09:10

ledsun

こえー。サプライチェーン攻撃から入ってくるの、ふつうにありそうで、こわい。

2022/03/18 09:10

hdkINO33

“仮にルカワくんのような人が一人や二人いたとしてもびくともしない仕組みや取り組みを、会社としてやっていくことが大事”

2022/03/18 09:11

nakex1

「特に混乱を大きくしたのは『経営層と開発チームのディスコミュニケーション』」「複数の組織にまたがった全社的かつ多層的な障害訓練では、レスポンスの中で想定外のことがたくさん起きる」

2022/03/18 09:13

iga_k

俺たちのtdtds!

2022/03/18 09:16

hazeblog

これ当たり前なの？そんなことない気がするんだけど… "当たり前だが、CEOに脅迫状が届いたという情報を全社に開示するわけにはいかない。"

2022/03/18 09:16

versatile

弊社でもたまにやるけど、しょっぼい内容で、バレバレ。でも一定数引っかかるんだよなぁ

2022/03/18 09:23

smokeymonkey

経営サイドとしてめちゃくちゃ参考になる。

2022/03/18 09:26

iinalabkojocho

コレぐらいやんなきゃだし、Saasは必須だろうねえ。ただし古い会社、大きすぎる会社は出来なさそう。このテストで会社が揉めて終わりそう。「オレはそんなことしない！」なんて怒ってね。。。

2022/03/18 09:35

greenbow

経営陣と現場の情報伝達の遅れはみずほ銀行の障害でも問題になってましたね。こういうのを訓練で発見できたのはいいな。

2022/03/18 09:36

manFromTomorrow

レッドチームテスト当事者はたまったもんじゃないかもしれないけど楽しそう

2022/03/18 09:37

unsoluble_sugar

"社内ツールの利用状況を尋ねるアンケートが送られてきても「疑心暗鬼になってしまっているので、答えていいものか悩んでいる」とSlackに書き込む社員もいたほど"

2022/03/18 09:46

koyhoge

たださんの名前が漢字で書かれてるの初めて見たかもw

2022/03/18 09:54

yabu_kyu

「訓練を頻繁にやって、うまく戻らないデータがあったんだけど実はそれを消すのが本来の目的（不正の証拠とか）」という手法を思いついた。監査で激詰めされそうだけど。

2022/03/18 09:55

aliliput

楽しそうw

2022/03/18 09:55

sezemi

tdtds さんはスゴい人

2022/03/18 10:06

call_me_nots

トップが意識高くないとこんなこと出来ひんな。すごすぎ

2022/03/18 10:09

karukaru7

マネーフォワードからfreeeに変えて良かった。（ダイマ）

2022/03/18 10:10

natu3kan

裏切り者や乗っ取られた人が居て、証拠隠滅される前提で立ち回るってなると大変だよな。確かにみずほ銀行は受けた人が担当になる仕組みっぽいから上層部がスルー(www.tokyo-np.co.jp

2022/03/18 10:12

onemuda4

”インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。”

2022/03/18 10:12

n_231

シナリオが本格的だw

2022/03/18 10:17

linus_peanuts

そもそもこういう訓練ができる良い社内環境ってことよね……(って多田さんてtDiaryのたださんなのか！)

2022/03/18 10:22

memoryalpha

“訓練を実施した背景には、情報システム部などのIT部門だけでなく、経営層まで巻き込みたい考えがあった”

2022/03/18 10:26

bopperjp

クリエイティブな訓練ができるのは良い会社だと思うのと同時に、儲かってるからできるんだろうなと、両面で羨ましい。

2022/03/18 10:30

about42

怖いな（弊社よ

2022/03/18 10:30

siitakke

マネーフォワードにスラップ訴訟かまして惨敗した企業とは思えんな。やるじゃん

2022/03/18 10:35

ignis09

おおー、障害訓練でCEO巻き込めるのか……対象者のスケジュールとかどうやって抑えてるんだろう

2022/03/18 10:41

testedquality

いい。これくらいやりたい。

2022/03/18 10:42

ext3

訓練で良かったね

2022/03/18 10:47

tito1201

興味深い

2022/03/18 10:47

deep_one

「脅迫状が届いた（略）極秘ミーティングを実施し（略）しかしミーティングを開いたことで、逆に現場から大規模障害についての情報が届かない時間帯が発生」なるほど…実際に起きそう。

2022/03/18 10:51

dreamzico

バックアップを破壊されうるような場所に置いていること自体が間違ってると思うが。

2022/03/18 10:56

medihen

"freeeは2021年10月、標的型攻撃とランサムウェアを組み合わせたシナリオを基に全社的な訓練を実施"、"経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず、混乱の要因になった"

2022/03/18 10:58

dominion525

たださん、いまfreeeなのか。それはつよい。

2022/03/18 11:00

onk

開発チームに閉じないようにとか、CSIRT の社内認知向上とか、狙いが良い

2022/03/18 11:01

TownBeginner

すごい訓練だな。でもサービス提供側としてはここまで想定しなければならないというのは、理解できる。情報コントロールのバグを突いてくるケースも多いんだろうな。

2022/03/18 11:02

sekirei-9

システム面じゃなく、組織やコミュニケーションの問題が発覚した、というのが面白い。

2022/03/18 11:07

Falky

なんか、本番環境を実際に破壊してみた話と思ってブコメしてる人・スターつけてる人がめちゃくちゃおらん？ｗはてブも変な人間増えたよな、ほんとに…。

2022/03/18 11:10

mayumayu_nimolove

freeeダム訓練

2022/03/18 11:17

Mash

本格的訓練

2022/03/18 11:21

honeybe

途中でただただしさんだと気付いた(👺 / そういえばfreeeに転職してたなぁ / 抜き打ちでやられたら辞表出すレベルでトラウマれる。読んでるだけでお腹痛くなる。

2022/03/18 11:22

anoncom

普段からの意識を向上させる狙いとしては、訓練として実施するおもしろいなぁ。実際に被害に遭わないようにするため、被害に遭っても対応できるようにするための準備ができる

2022/03/18 11:27

stamprally

面白。ワクチンだな。対応の下地を作っている。

2022/03/18 11:28

subaccountx

アンケートに答えることすら躊躇する空気の職場の話

2022/03/18 11:34

timetrain

なんて実践的なことやってるんだ。／そうか、物理サーバぶっ壊すわけにもいかんもんな

2022/03/18 11:36

aceraceae

本格的なのはいいけど、警察が動いたらどうするつもりだったんだろうか。

2022/03/18 11:38

rti7743

結局、身代金の支払いに応じたのか蹴ったのかわからんかった。テープとかのオフラインバックアップがあれば被害は限定されるとは思う。報復でネットにばらまかれるのは阻止できないだろうけど。

2022/03/18 11:41

kz78

"freeeではほとんどの情報がクラウド上にあり、基本的には全てクラウド上で業務が完結している" "これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない"

2022/03/18 11:42

tettekete37564

脅迫文が英語だったらスルーされて大規模障害に集中できてたりして。

2022/03/18 11:45

Nyoho

ただただしさんの漢字名を初めて拝見しました。

2022/03/18 11:45

hapilaki

“CEOに送った脅迫状 ”のキャプチャー画像によると英数字のランダムな組み合わせを知らせるだけで、足がつかずにビットコインの受け取りができるのか。こんな基本的なことすら知らなかったよ。

2022/03/18 11:50

solidstatesociety

公的事業向けにもこんな対策やってますアピールも大事

2022/03/18 11:51

ewiad420

すごいけど、神経すり減りそうなので、当たりたくない…。「なあんだ、よかった」でスッキリ終われずにモヤモヤ残る人はいる気がする。

2022/03/18 11:53

htnmiki

訓練だったことを明かしてしまうと本物ののときにも「訓練かな？」と思ってしまいそう

2022/03/18 11:57

karupanerura

よさそう

2022/03/18 11:59

j_naito

素晴らしいなぁ

2022/03/18 12:00

peketamin

"当たり前だが、CEOに脅迫状が届いたという情報を全社に開示するわけにはいかない" そういうものなのか？

2022/03/18 12:04

fukken

本物のインシデントは滅多に発生しないし、対応した後は疲れていたりして「教訓」を次に生かしづらい。やってみないとわからないこともある。

2022/03/18 12:09

ryosuke134

こういうことをやることで明らかにセキュリティに関するノウハウが貯まるから、某みずほ銀行みたいな情報錯誤が起こるリスクを避けられそうですね。

2022/03/18 12:10

kuborn

いいな。

2022/03/18 12:11

mennmabacon

訓練とは言えここまでできる会社なかなかない。めちゃくちゃ信用上がった。

2022/03/18 12:12

YaSuYuKi

サプライチェーン攻撃、ちょっと考えて、ものすごく怖くなった。ライブラリは相応に疑うが、そのvscodeプラグイン大丈夫ですかとか、間接的な攻撃までは抜けていることを発見

2022/03/18 12:14

ken1flan

こりゃすげぇ…。

2022/03/18 12:17

ducky19999

経営陣巻き込んでるの素晴らしい

2022/03/18 12:21

hisamura75

すげー。社内でこれできるの素晴らしくない？

2022/03/18 12:21

Guro

社内組織機構の問題点洗い出しを、こうした危機対応訓練で行うのは、従業員としてはどうかとおもうよなあ。

2022/03/18 12:22

haatenax

自分の確定申告は完全にfreeeに握られてる。こういうリスクの話聞くと絶対は無いのでユーザーとしても保険が必要なのかなと危機感を抱いた。

2022/03/18 12:24

taruhachi

うーん。ここまでしないとあかんかぁ。正しいんだけど心理的安全性が著しく低いなぁ。敵は社内ではなく社外に作らないと疑心暗鬼から隠す行動にも繋がってしまいそう。

2022/03/18 12:25

at_yasu

「やろうと思えば全環境をクラウド上に複製し、訓練環境を作ることができる。これに対しレガシーなシステムで、壊してもいい訓練環境を作るのはそう簡単ではない。」

2022/03/18 12:25

rizenback000

訓練で得られた教訓がしっかり書いてあってすごい為になったんだなぁって。

2022/03/18 12:29

waihasaruya

本番環境でやるカオスエンジニアリングかと思った

2022/03/18 12:30

hiroomi

”社内ツールの利用状況を尋ねるアンケートが送られてきても「疑心暗鬼になってしまっているので、答えていいものか悩んでいる」”不便を被るセキュリティなのかと思うと、安心をどう確保するかの検討と。

2022/03/18 12:38

IGA-OS

このレベルで出来るの素晴らしいなぁ・・・実施してるの観察したい

2022/03/18 12:39

hiby

これちゃんとお仕着せの訓練じゃなくてCEOが1日使って対応してんのがいいなあ。そらそうだよな非常時に今日の業務が～とか言っとる場合ちゃうからな。

2022/03/18 12:39

deztecjp

自画自賛という感じで、額面通りには受け取れない。無いものねだりは承知だが、第三者評価がほしいと思った。

2022/03/18 12:44

fortrand

ひゃー

2022/03/18 12:44

sase

すげえ＆こええ

2022/03/18 12:53

dekasasaki

ただただしさんだ

2022/03/18 12:54

t_nkjm

価値ある取り組みだけど、もっとよいやり方があったのでは、ともやもやする。

2022/03/18 12:59

AQMS

訓練なら参加者にシナリオと対処方法を渡してやってほしい。まずその通りにできないからそれを突発対応するようにされたい。

2022/03/18 13:03

saitoudaitoku

ガチすぎる。予め予告すると衝撃は少ないが効果は減るし難しいところだが…

2022/03/18 13:04

mouki0911

そう言わないけど起きない前提で考えてるだろ、って経営者多い。お金かけない。障害もクラッキングもおきる前提で考えるべきなのに。

2022/03/18 13:12

ivory105

“経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず”こんな初手で詰んでしまうんだなぁ

2022/03/18 13:15

sisicom

これはすごいな

2022/03/18 13:17

Andrion

本当の障害の9割は再起動or切り戻しで直るので、経営層が毎回出張ってくると報告書やら改善提案やらで逆に面倒になる。結果、本当にどうしようもないときしか連絡しなくなる。

2022/03/18 13:23

kfly8

経営も巻き込むのイイネ。

2022/03/18 13:30

tomex-beta

下手に真似したらめっちゃ怒られるやつだ

2022/03/18 13:35

hevelo

カオスエンジニアリングのすごいやつ

2022/03/18 13:37

mint6626

儲かってる企業は違うねえ

2022/03/18 13:39

yo_waka

たださん写真カッコいい。実際未知の事象に遭遇すると何をどこまで結論出せれば復旧できるかの判断がほんとに難しい=時間かかるので、事前に経験できることが尊い

2022/03/18 13:39

arajin

「解決策を検討する経営層が「もしかすると、同じ原因から派生した関連付けるべき事象が、社内の別のところで起きているのではないか」と、自分で気付けるようにならなければならない」

2022/03/18 13:43

mandel59

すげー

2022/03/18 14:00

shimon_haga

すごいな。客には迷惑かかる訓練だけど、効果は凄そうだ。

2022/03/18 14:01

t_motooka

経営陣を巻き込んだ障害訓練、素晴らしいですね。

2022/03/18 14:05

napsucks

これはすごい。でも本番環境（を模した試験環境）を破壊って、どうやって信じ込ませたんだろう。現場から経営陣にウソのレポートを上げるのかな。実際にサービス止まってないのは偉い人でも見りゃわかるだろうし。

2022/03/18 14:13

shoi

本質に迫ることが許さるマインドってのが経済成長してた時の日本企業のようで。セキュリティに限らず。

2022/03/18 14:14

scorelessdraw

試験環境かと思ったら本番環境だったりして。（実際そんなことはできないようにしてるんだろうけど…してるよね）

2022/03/18 14:16

ototohato

フリーかっけー！そう言う本気の訓練が出来るのってユーザーからしたら安心感あるよね。

2022/03/18 14:51

katchin

　この記事、めちゃくちゃ面白いし、怖い。こんな障害訓練サービスもビジネスになりそう　　自社のDB破壊しCEOに身代金要求、freeeが本当にやったクラウド障害訓練の舞台裏　「従業員はトラウマに」

2022/03/18 14:57

charlestonblue

後で読む。

2022/03/18 14:59

legnum

すげえ。2FAリセットのソーシャルハックとか通る会社ありそう。脅迫メールに「ハックしたのは反社もしくは女性とトラブルを抱える人物」とかノイズ情報足して心拍数とかサーモグラフィかけるオプションはどうか

2022/03/18 15:06

You-me

はてブトップで見出しが「〜本当にやったクラウド」で切れてるからすんごいびっくりした（訓練ね　訓練　訓練　身代金要求です

2022/03/18 15:20

steam-punk

トヨタサプライチェーンと米ブリジストンで奇しくもタイムリーな話だ…

2022/03/18 15:51

b-wind

こんな訓練されたら会社辞めるわ。

2022/03/18 15:56

daichirata

記事内リンクの公式ブログにあったけど、これだと確かに難易度高くて良い訓練になりそう "社内には「10/28に何かが起きること」「本番環境としてある試験環境が使われること」だけが周知されています"

2022/03/18 16:22

shigekixs

予防訓練は大事

2022/03/18 16:26

waot209

脅迫メッセージに【訓練】ってちゃんと書かれてる。

2022/03/18 16:26

buhoho

楽しそうなことしてるな

2022/03/18 16:27

nuu_n

ただただし？ローマ字で書いたら舌噛みそうな名前。

2022/03/18 16:33

pilpilpil

訓練中のBGMに「半沢直樹」「ミッション・インポッシブル」「エヴァンゲリオン」のどれを選ぶか、で雰囲気がガラッと変わりそう。

2022/03/18 16:35

nmcli

草スタンプいいな

2022/03/18 16:41

mockingbird0619

“しかしミーティングを開いたことで、逆に現場から大規模障害についての情報が届かない時間帯が発生。経営層が「脅迫状」と「大規模障害」という2つの出来事を関連付けられず、混乱の要因になった。”

2022/03/18 16:43

tpircs

本番環境ではないけど、本番環境と同じ構成のテスト環境でデータ自体はある程度本物が入っているんじゃないかな。だから脅迫は真に迫るし、破壊されると何が盗られたかわからず混乱が増す。tdtdsさんすごい。

2022/03/18 16:51

raitu

”インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則。仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任。”

2022/03/18 16:59

cotbormi

夢でうなされそう。

2022/03/18 17:16

peppers_white

トラウマになるけど必要な訓練なんだよな、まじで今の情勢だとこういうインターネットテロは起こってもおかしくない・・・

2022/03/18 17:21

yamada_shirou

CEOが標的だと結局は全ての対応の責任者もCEOなわけで、CEO個人の訓練にしかならないように思えるけど。「CEOに知られたくなければ」みたいに別の人を脅すなら分かる。

2022/03/18 17:24

anus3710223

ITパスポート受験間近な自分にとってはめちゃくちゃリアルにイメージできる話。逆に言うとITパスポート勉強しなきゃ怖さが分からなかった。ITパスポート平成と令和では難易度全然違うからみんな受けよ

2022/03/18 17:46

tel30

セキュリティインシデントどっきり

2022/03/18 17:51

tinao

こうした訓練を受けて、会社を大事にする経営者は企画した社員を評価し、自分が大事な経営者は企画した社員をクビにする

2022/03/18 17:57

naoto_moroboshi

メールでアンケートなんか答えられなくなっちゃう

2022/03/18 18:07

iwanofsky

こんぐらいやれる会社は、ますます強くなるだろうな。

2022/03/18 18:24

kura-2

なかなか激しいな

2022/03/18 18:49

mrkn

こんな笑顔でトラウマを作り出すとは・・・

2022/03/18 19:12

kirarapoo

メール訓練やると偉い人が引っかかって示しにならかった思い出

2022/03/18 19:29

TakamoriTarou

ただただしし？

2022/03/18 19:54

mohri

多田正さんってだれかとおもったら！（tDIaryの）ただただしさん？？？!!!

2022/03/18 20:16

yasushicohi

すっごい、本気や…

2022/03/18 20:28

misarine3

トラウマになってる人は業務に支障ないんだろうか？と心配になってしまうわ

2022/03/18 20:37

uxoru

“インシデントが起きても人を責めず、事象そのものの解決に注力するのが鉄則“ ”仮にルカワくんのような人が一人や二人いたとしてもびくともしない仕組みや取り組みを、会社としてやっていくことが大事”

2022/03/18 20:53

mythm

すごい、けどルカワさんは普通に社員にいたり新入社員とかで来たらちょっと気まずくなりそうだから、実在しない名字にすればいいのに…とは思った

2022/03/18 20:57

mistake3

メール訓練やっただけで怒られる我社でこれやったら…

2022/03/18 21:28

shoh8

これができる環境が羨ましい。そしてより強くなれる環境。

2022/03/18 21:52

nakamura-kenichi

ホンマに企業は定期的にやった方がええぞ。実践が一番理解を促進させるし、何より緊急対応ができる安心感は強い。反対するアホな役員がいてる会社はとっとと転職した方がいい。

2022/03/18 23:00

harvestsignal

すげぇな（語彙力）

2022/03/18 23:55

adsty

シナリオを基に全社的な訓練を実施した。

2022/03/19 00:07

ymrl

社内で傍観していましたが、事前に本番ではないこの環境で何か起こるから覚悟しとけとアナウンスされていて、脅迫文はじめあらゆるコミュニケーションは訓練であることを明示されていました。疑心暗鬼の人も元気です

2022/03/19 00:32

sonots

すごい

2022/03/19 00:32

u_eichi

“仮にその人のミスで何かが起きたとしても、それを食い止められなかったのは組織の責任“ ほんと、この観念を共有できないと、全くシステマティックなリスク管理の構築が進まない。

2022/03/19 00:33

a446

悪意のある破壊者が組織内に入りこめば再現される可能性があると思うと恐ろしいだろうな。次回は極秘ミーティングの映像と現場の混乱を無音の隠しカメラでいいから映像作品にしてほしい

2022/03/19 01:19

maple_magician

無予告負荷試験……うわぁ……

2022/03/19 12:58

mkusunok

こりゃスゲーな。こーゆー演習を役所や銀行でもできるようになったらな

2022/03/19 20:11

toruhjp

パイセンさすがっす

2022/03/19 22:13

ryouchi

クラッカー「freeeのロゴにeを一つ足してfreeeeにしといたからな」

2022/03/19 22:19

yz_s

せっかくここまでやってるんだから、freeeは「解約時の執拗な引き止め」をやめた方がいいと思う。何年も前だけど、サービス利用をやめようとした時の引き止めが多段すぎて呆れた。

2022/03/20 18:54

tmatsuu

障害訓練いいよ。やったことある。連絡体制の不備などが顕在化して学びがあるので是非やりましょう。

2022/03/20 20:56

iekusup

なるほど。