Skip to content

Trainer 13: D7 Drill Pack (Security Operations)

目的

Domain 7の初動判断を安定化し、IR/DR/フォレンジックの順序ミスを防ぐ。

D7で鍛える3軸

Axis失点しやすい点修正方針
初動順序いきなり修復して証拠破壊Safety -> Evidence -> Escalation -> Containment を固定
IRとDRの境界目的を混同するIR=被害抑止、DR=業務復旧で分離
運用標準化属人的対応に依存Runbookと閾値で再現性確保

問題タイプ別ドリル

Type A: インシデント初動 (first)

  • 問い: 最初に実施すべき対応は何か
  • 勝ち筋: 人命/安全確保 -> 証拠保全 -> 報告ライン確立
  • NG選択肢: 即時再起動、即時削除、単独判断

Type B: 封じ込め判断 (best)

  • 問い: 最適な封じ込め策は何か
  • 勝ち筋: 事業影響と横展開リスクを同時評価
  • NG選択肢: 全遮断で業務停止、影響未評価

Type C: フォレンジック

  • 問い: 証拠の完全性をどう維持するか
  • 勝ち筋: Chain of Custody、タイムスタンプ、改ざん防止
  • NG選択肢: 原本で直接解析、記録なし

Type D: 復旧戦略

  • 問い: どの復旧案を選ぶか
  • 勝ち筋: RTO/RPOと事業優先度で選択
  • NG選択肢: 速度優先のみ、整合性無視

30秒判定テンプレ

  1. 人命・安全リスク有無
  2. 証拠保全要件の有無
  3. IR(抑止)かDR(復旧)か
  4. Runbook準拠で実行可能か

誤答修正ルール(D7)

ErrorFix Rule
先に修復してしまうNever destroy evidence first を固定
IR/DRを混同目的を1文で宣言してから選択
報告線を飛ばすエスカレーション先を先に確定

反復メニュー(20分)

  • 8分: Type A/B 5問
  • 8分: Type C/D 5問
  • 4分: 誤答の順序ミスだけ抽出