1.概要
・インシデント対応の時間に着目して、インシデント対応のプロセスを可視化します。
・皆様にはタスクリストを作成してもらい、Pythonのシミュレータでインシデント対応の総時間およびガントチャートを作成してもらいます(ボタンを押すだけ)。
・対応時間を短縮するための、インシデント対応のプロセス改善策を検討してもらいます
▼ガントチャートのイメージ
2.ワークショップの意義
1)対応プロセスが整っているかの確認
不確実性が高いシナリオが提示され、その対応を考える中で、以下を確認ください。
・インシデント対応手順が確立されているかの確認
・マニュアルなどが整っているかの確認
・そもそも意思決定できるルールになっているかの確認
2)最適なプロセスの検討
3)他のCSIRTとの意見交換、議論
3.ワークショップで想定するインシデントとタスクリスト
1)想定するインシデント
・今回のワークショップでは、公開サーバに対する攻撃および、公開サーバからの情報漏洩を想定してください。
・しかも、攻撃が本当に行われたのか、何が行われているのかが不確実な状態での演習を行います。
たとえば、サーバが完全に乗っ取られていたら、ネットワークを切り離すなどの対策をすぐに行うことは当然です。ですが、多くの場合は、その前段があります。何が行われたのか、攻撃が成功しているのか、未遂に終わっているのか、よくわからない状態です。たとえば、いつもとは違う種類の攻撃ログを検知しました。でも、攻撃かはわかりません。そういう状態で毎回ネットワークを切り離していたら、業務に大きな支障がでます。具体的なシナリオは、ワークショップ時にお伝えします。
2)タスクリスト
インシデントを検知してから、対処の意思決定、対策の実行までのタスクリストを作成していただきます。
タスクリストは、テキストベース、CSVファイル、Googleスプレッドシートなど、複数の手段で作成いただけます。
4.ワークショップの流れ
項番 | 内容 | 詳細 |
---|---|---|
1 | ワークショップ説明 | ワークショップの概要を説明します |
2 | 作業説明 | Googleドライブやシュミレータの操作説明をします |
3 | チームに分けれて演習 | 4人くらいのチームに分かれ、作業を開始します。 タスクリストを作成し、それをシミュレータに投入してガントチャートを(自動)作成します |
4 | 意見交換および改善プロセスの作成 | チーム内で意見交換をし、現在のプロセスの改善点を議論したり、改善したタスクリストでのシミュレータの再作成を行います |
5 | まとめ、クロージング | クロージングです |
6.各種マニュアル
1)GoogleColabのインストール
❶Googleドライブにあるシュミレータ(Pythonのプログラム)があるフォルダを開きます。
❷右上の青字(ログイン)からGoogleにログインをしてください。ログインしないと、GoogleColabのインストールができません。
❸ログインすると、左上の「ドライブ」の下に、「+新規」ボタンが表示されます。ここから追加もできますが、今回は、ファイルを開く手順で解説します。
❹拡張子ipynbを実行すると、テキストで表示されます。ここの上部の「アプリで開く」を押します。
❺検索窓にcolabと入れると、Colaboratoryが出てきます。
❻これをクリックしてインストールします。
その後、ログイン認証が聞かれますので、適宜進めてください。
❼インストールが完了したら、上部の「GoogleColaboratoryで開く」を押します。
❽Pythonプログラムが開きます。
2)シュミレータ(Pythonプログラム)の実行方法
❶初めて実行する場合
・該当のフォルダにある、tasklistのスプレッドシートを開きます
・インシデント対応のタスク、所要時間、先行タスク、リソースを入れます。それ以外の「バラつき」「説明」の項目は、今回のシミュレーションには使わないので記入不要です。
・右側にあるCSIRTの人数では、実際にインシデント対応に携わるメンバーの人数を入れます。もちろん、人数が多いと処理時間が短くなります。
・次に、拡張子がipynbのPythonプログラムを実行します。
・一番上の「前処理」から順に▶ボタンを押します。
・2つ目の「Googleスプレッドシートから読み込む場合」のボタン以降も同様です。
参考ですが、ソースの中にある以下の部分を変更すると、任意のスプレッドシートから読み込みができます。
# 読み込むスプレッドシートのURL SPREAD_SHEET_URL = 'https://docs.google.com/spreadsheets/d/1pmCgHC9ECSVI9Kxxxxxx'
このとき、はじめての場合は認証画面が表示されます。
青い部分のURLをクリックして認証を行います。実際には「アカウントを選択」の画面で、ログインしているアカウントを選択すると、以下のように、Google Cloud SDKの表示が出ますので、「許可」を押してください。
・□ボタンを押して、コードをコピーします。
・もとのPythonプログラムの「Enter verification code: 」の空欄にコピペしてEnterを押すと、Googleスプレッドシートの読み込みができます。▶ボタンがグルグルと渦を巻くので、終わるのを待ちます。
・「3. ガントチャートの作成」の▶ボタンを押します。
❷2回目に実行する場合
たとえば、Googleスプレッドシートでタスクリストを修正した場合
・一番上の前処理以外を実行してください。