訓練だとわかっていても「緊張で脇汗をかいた」　LINEヤフー、初のランサムウェア訓練からの学び

【検知】
・サービスの異常検知：状況確認と報告（コマース→CSIRT）/ Web内部・ログ分析と報告（SOC+コマース→CSIRT）
・ランサムウェア疑い（Web暗号化の検知）：Slackチャンネル立ち上げ（CSIRT）/ Web内部・ログ分析（SOC+コマース） / 状況整理・事故レベル評価（CSIRT）
・ドメイン侵害の検知：Active Directory操作の状況確認（SOC→AD担当）/ ログ分析と報告（AD担当→CSIRT）
・事故レベル判定：総合的な事故レベル評価（CSIRT） / CISOへ報告（CSIRT→経営層） / 緊急対応体制始動（CSIRT）

【ウォールーム（War Room）組成】
・緊急対策本部立ち上げ：関係者招集（CSIRT）/ 役職者報告（CSIRT→経営層）
・指揮系統確立：対応体制表作成（CSIRT）/ 役割アサイン（CSIRT） / タスク管理の開始（全部門）
・全体状況の把握：ライブドキュメント（記録）開始（CSIRT） / 技術状況共有（SOC）/ インシデント確定（CSIRT）
・止血方針決定：端末関連、サーバー・ネットワーク関連、Active Directory関連の止血対応の決定（CSIRT→各部門）

【止血】
・ネットワーク遮断の実行：端末、コマースサーバー・データベースの隔離（各部門）
・認証情報の緊急リセット：アカウントパスワードリセット（AD担当） / Active Directory関連アカウント無効化（AD担当） / 全セッション無効化（AD担当）
・VM隔離・AD緊急対応：感染VMの隔離（各部門）/ Active Directoryログオン制限（AD担当） / krbtgtパスワードリセット（AD担当）

【攻撃痕跡の追跡・分析 / 重大判断】
・ログ解析：EDR・ネットワーク、VPN・Active Directory、トラフィックのログの確認（SOC）
・侵害タイムライン再構築：攻撃経路の時系列整理（SOC→CSIRT） / 初期侵入経路特定（SOC） / 横展開の確認（SOC）
・影響範囲確定：漏えい可能性がある情報の最大値概算（CSIRT） / 個人情報事故該当性判断（CSIRT）
・法的報告判断：専門機関フォレンジック検討（CSIRT） / 警察・JPCERT報告要否判断（CSIRT） / 経営層への影響範囲・事故レベル説明（CSIRT→経営層）
・経営層報告・対外連携準備：経営層向け説明準備（CSIRT） / 社外（ユーザー）報告（CSIRT） / セキュリティ観点の再稼働条件の整理（CSIRT）

【復旧】
・復旧時刻・方針決定、影響整理：復旧時刻の決定（CSIRT+クラウド） / 復旧方式の検討・決定（クラウド） / 影響整理・データ消失算出、経営層報告（コマース+クラウド）
・データベース復旧：DBの復旧実行・RMAN不完全リカバリ（クラウド） / DB整合性・スキーマ確認（クラウド）
・サービス再稼働準備：サービス再構築・復旧（コマース） / 動作・入札フロー確認（コマース）
・再稼働の最終決定：事故レベル・影響度・再侵害リスク説明（CSIRT→経営層） / Go/No-Go最終決定・再稼働準備（CSIRT→コマース）