風邪で熱…

今年は年末年始で風邪をひき、元日は３８度の熱になり、今のところは熱はひいたけど布団を出ると悪寒がある始末…

寝汗が出ているので、着替えては寝るの繰り返し…
起きている間は咳が酷く、食事と水分補給して、また寝るの繰り返し…

とにかく喉が痛いのと鼻水が止まらない…

年始から災害

元日に能登で震度７…
関東の方まで揺れたということだけど、わたしは寝ていて気づきませんでした。

以前、福岡の西方沖地震でも震度７まではいきませんが、連続して揺れている時は、揺れてない時でも揺れているような錯覚を覚えたことがありました…

震度７の強力な揺れだと、それによって生じた歪がさらに地震を促してしまう恐れがあるので、しばらくは注意する必要があります…

明日は北陸も雨の予報なので、度重なる地震で自宅が雨漏りする可能性もあるので、避難所で過ごすことも検討して命を守ってください。

わたしの叔父は阪神大震災に遭遇しましたが、震災では生き延びましたが、震災後数日経過して息を引き取りました。地震の影響は直接的なものもありますが、間接的に命を脅かすこともあるので、特に持病を持っておられる方は十分用心して頂きたいと思っています。なにより命が大切です。

緊急時の対応

緊急の対応が必要な時に、人間不用意に自分中心に考えている人が多くて困ることも多々ある。

例えば、このように他に先んじて情報を伝えたいのか不明ですが、同じように考える人が多かったりします。

中央省庁出身だから、緊急事案が発生した時に、どれだけ窓口が混み、それに対応する人員が必要なことは馬鹿じゃないんだから熟知しているはず…

にも関わらず、野次馬的な行動をする人がいるんですよね～♫

インシデント対応

わたしも前職で情報セキュリティ関係のインシデントに遭遇したことがある。
仕事柄IoT製品を多数扱うところだったんですが、そのうちの特殊なIoTが故障し、その代替機材を手配して交換し、代替機提供の日本代理店からは一部のportを開けないとならないということで、そのportを開けたら、直後に事案が発生した…

日本の組織向けにportスキャンをしていたり、不正通信を観測していたりする機関が少なからず存在する。
その一つの組織から、不正通信を行っている疑いのある機材があるということで、IPアドレス指定のもとに調査された。たまたまそのアドレスが機材故障で代替した機材のために開けたportから発出されていたので、即応することができた。

緊急対応で必要な機材だったため、さらなる代替機を求めるか、その機材を使わない選択をするのか、判断基準は様々あり、利用者の判断も必要あるわけで、緊急対応はその判断とその判断理由を明確に責任をもって対処する必要がある。

対処としては、現場判断で代替機を系統から取り外し、それを必要とする利用者には別の方法を考えるように促し、事なきを得た。

単なるインシデント対応であれば、これで済む話なのですが、連絡系というのは、物事簡単には済まない…

通常はインシデントは現場→システム担当者→担当CSIRT→組織代表CSIRT→CISOといった順に連絡されるのが普通ですが、この例は外部から組織代表CSIRTに連絡がきた事案で、そのような想定で対応マニュアルなんか作ってないので、連絡系統がメタメタだった…

現場で対応すべき人に電話連絡が集中し、実際の対応が遅れたり、途中の連絡者がさらに上司を含め情報を拡散したために、それらの人たちが現場対応者に直接電話連絡をしてくる。つまり同じことを複数の人に話すために時間が奪われる、それが対応時間をさらに遅らせてしまう…

マネジメント担当者は、とにかく情報を素早く伝えることを重視しがちだが、それを複数人で現場に連絡し始めると現場は「マネジメント層は馬鹿なのか！」と正直思ってしまうことも…

中には、対応している者として、わたしの名前がひとり歩きしたのか「以前いっしょにお仕事したことがある◯◯です。インシデント発生したようで□□さんの名前があったので、現状を教えて欲しいと思って電話しました」と宣う全く関係ない人まで電話してくる始末…

まあ、マニュアルがあっても、そのマニュアルに想定してないことが発生したりすると、人間は途端にあわてて変な行動を取るものである。とは言え、実際にインシデントが発生した時に、マニュアルを見る人は殆どいなかったりする…

インシデントというのは油断した時に限って発生したりするものであり、日頃から「今、◯◯が起こったら」というシミュレーションをしておくと良いのだが、そう考える人も少ないのが現状かと…

現職でも理解されないインシデント対応時のこと

みんなマニュアルさえあればなんとかなると考えたりするものです。
たとえば何かあっても、職場のファイルサーバに緊急対応マニュアルがあるから、それを見れば良いなどと呑気に構えていたりする。

仮に、職場のネットワークが何らかの停電でファイルサーバが参照できなくなった時にどうするか等、全く考えていなかったりする…

真面目にインシデント発生時の状況や対応を考えていない組織って本当に多いんですよね～♫

わたしはコンプライアンスやCSIRTの担当者に会った時に時々質問することがある。
その組織で大きなインシデントが発生した時に、記者会見しなければならない場合「誰が事象の詳細を説明しますか？」というものである。

記者会見となると大きなインシデントが発生したと暗に提示しているのですが、最初は社長や副社長が一言発するかと思う。その後、サイバーセキュリティ関係であればCISOが説明するだろう…

場合によってはCISOも技術的な内容や詳細に関しては応答が難しい場合はCISO補佐やCSIRT担当が詳細説明することが出来るはず。

でも実際にインシデント等に遭遇したことがない組織は、詳細な説明だったら現場の人にやらせればOKなんて簡単に言うわけです。

わたしはその答えを聞くと、この組織は遅れているなと思うんですね。そしてこれが現職の組織でした。インシデント発生箇所の責任者となると、その後の原因分析の詳細や再発防止策含め、説明や文書類など多様な報告書が待っており、事後作業も多いのと、問い合わせも相変わらず多くなるんですよね～♫　

その担当者が最前列で対応している時に、会見で語らせると、その分は何も進展がなかったりするわけですし、社外の人たちに対して適切なわかり易い言葉で語るということに慣れていなかったりするわけで、それこそ3.11の会見でフクイチに所長を全面に説明をさせますかってことだったりするわけです。

つまりは情報の一元化をはかるCSIRTという組織があるのであれば、その長が自ら説明できることが最低限必要。これができない組織というのは、一元化した情報から意味を理解できてない組織と言うことで、その状態では適切な指示ができないことを表しているわけです。現職ではこの傾向が強くて、完全な事務屋で技術を舐めているとしか思えなかった。もう落第レベルだったんですよね～♫

多くの組織で機器の脆弱性情報を組織内に共有するけど、情報をメールで流せば、あとは下々で対策するはずというだけで、進捗管理や確認をしていないというあり得ない業務のあり方をしていたところなので、その文化を変えることがわたしの仕事のような感じでしたが、それすら難しいほど、組織がコンプライアンス的に腐ってたというのが実感…

このままだと、本当に大きなインシデントが発生した場合は、対応がゴテゴテになるんだと思う…知らんけど。

４日はCT検査だけど…

年始の４日は、病院外来でCT検査なのですが、これだけ咳が出ているので、肺の状態も悪いのではないかと思う次第…

間質性肺炎になっていないことを祈るだけですが、これで入院等になるといやだな～♫
何せ１２日で退職なので、健康保険が効かなくなってしまう…

逆にこの状態で経過観察ということになると、ほぼほぼ経過は良好になるということかも知れない…

とりあえず、明日までは寝正月にして、４日のCT検査に挑もう…
まずは咳がおさまる必要はあるけれど…