Chatwork Creator's Note

ビジネスチャット「Chatwork」のエンジニアとデザイナーのブログです。

ビジネスチャット「Chatwork」のエンジニアとデザイナーのブログです。

読者になる

インシデント対応演習のススメ

Security

プロダクトセキュリティ部の西川(id:cw-nishikawa)です。

好きな言葉は「sounds good」です。 f:id:cw-nishikawa:20211013143010p:plain

先日、Chatworkのプロダクトセキュリティ部内でインシデント対応演習(机上)をおこないましたので、そのことについて今回は書きたいと思います。

インシデント対応演習の目的を明確化する

今回の演習ではプロダクトセキュリティ部のメンバーの対応能力の向上やインシデント対応フローの確認を目的として実施しました。 目的を明確化することにより、演習中にインシデント対応フローに沿って行動することになりますが、 フローに不備があったりすると気付いたり、もっとこうしたほうがよいのではないか、という改善の意識が生まれるようになり、気付きに繋がっていくと思います。

ただ、漠然と実施してしまうと、「これなんのためにやってるんだっけ?」となってしまうので注意が必要です。

シナリオを考える

シナリオは私が用意しましたが、私たちは名前のとおりプロダクトのセキュリティを担っている部署ですので、 組織への攻撃というよりは、Chatworkというサービスに関するインシデントを用意しました。

シナリオを用意するうえで特に意識したところは、「そのインシデントが自組織で発生しそうか?」というところです。 当事者意識を持って対応にあたってもらうため、インシデントはできるだけ自組織で発生しそうなものがよいと思っています。 また、SaaSなどを提供している会社においては、同業他社で発生したインシデント事例が役に立つことがあります。 実は、今回のインシデントは下記の件を参考に作成しました。 gigazine.net

この件では、Electronic Arts社の従業員が利用していたSlackのCookie情報が販売されていたことをきっかけにElectronic Arts社への攻撃が始まりました。 攻撃者はこのCookieを使うことにより、Electronic Arts社の従業員になりすますことができたというわけです。 これをChatworkにあてはめて、改変したものを今回のシナリオとしています。

進行

この演習では、シナリオにおける各シチュエーションごとに検討時間を設定しています。

  • この時点でおこなうことは?
  • どの部署に連絡をするか?
  • 外部へ連絡をおこなうか?

などの問いを設けて、メンバーは話し合ってこれらへの対応を検討していきます。

この辺の問いは、インシデント対応マニュアルがあれば、マニュアルに記載されている期待した回答を正として、 それを回答できるか試せるような問いを出すとなおよいかと思います。 今回はマニュアルに記載があるもの、ないもの半々ぐらいの感じで問いを作成しました。

シチュエーションによっては、進行する人が関連部署や外部機関の役割を担って、メンバーからの質問に答える必要が出てきます。 ある程度の質問を想定して、回答を用意しておくとよさそうでした。 もちろん役割によっては、その場の流れで回答を考えるのもアリだと思います。

また、一人の人が発言をし続けてしまうということは避けたほうがよいと考えています。 なぜなら、その人がいつもいるとは限らないからです。 誰であっても対応に当たれるよう、一人一人がきちんと発言できるように進行することを心がけました。(ただし、私がうまくできたかは定かではありません。。)

振り返り

こういった演習の楽しみは振り返りにあると考えています。 参加者一人一人気付きは違い、そこに学びがあるからです。 また、インシデント対応フローやマニュアルに完璧なものはなく、改善の繰り返しであるため、 決して作って終わりではなく、ライフサイクルを回していく必要があります。 この改善のプロセスがセキュリティの醍醐味で私が好きなところです。

振り返りでは、特に確認したいところで下記のようなものがあります。

  • インシデント対応フローどおりに動けたか
  • インシデント対応フローの改善点はどこか
  • うまくいかなったところ
  • うまくいったところ
  • もやもやしたところ

ただし、これは目的がインシデント対応フローの確認だからであって、大枠では目的が達成できたかどうかの確認が必要です。 ここでは、とにかくインシデントレスポンスのプロセスをよりよくするための話をします。

そして、最終的に参加者の気付きや対応についての共有をおこないます。 また、シナリオの解説も同時におこない、学びが深まっていくことを期待しています。

参加する側の注意点

今までは運営側の話でしたが、最後に参加者に関する注意点も当然あります。 と言ってもひとつだけですが、、、

*のめり込まずに状況を俯瞰して、落ち着いて対応をおこなう

あとはインシデントは本番で発生すると全然楽しめないので、このときばかりはできるだけ楽しんでください! そうしておけば、本番でもきっと慌てないことでしょう(多分)

最後に

プロダクトセキュリティ部以外にも机上演習を実施していて、やはりプロセス改善などにおいて非常に効果的であると肌感覚で感じています。 やる前とやった後で計測できる指標があれば本当はいいのですが、そんなにインシデントが頻発されても困るのでなんとも難しいところです。

よいシナリオができて、参加者が困っている姿を見るのも楽しいという自分の新たな一面を発見できたので、今後も続けていきたいところです(えっ?)

冗談はさておき、 皆さまの組織でもインシデント対応演習実施してみてください! また、インシデント対応演習で「うちはこういうのやってるよ!」という情報交換してくださる企業の方はぜひお声がけいただけましたら幸いです。

プロダクトセキュリティ部では開発に関するセキュリティの情報共有もおこなっていきたいと考えているので、お気軽にご連絡ください。

それでは今日はこの辺で!

プロダクトセキュリティ部では一緒に働いてくれる仲間を募集しています! recruit.chatwork.com