Appearance
Trainer 13: D7 Drill Pack (Security Operations)
目的
Domain 7の初動判断を安定化し、IR/DR/フォレンジックの順序ミスを防ぐ。
D7で鍛える3軸
| Axis | 失点しやすい点 | 修正方針 |
|---|---|---|
| 初動順序 | いきなり修復して証拠破壊 | Safety -> Evidence -> Escalation -> Containment を固定 |
| IRとDRの境界 | 目的を混同する | IR=被害抑止、DR=業務復旧で分離 |
| 運用標準化 | 属人的対応に依存 | Runbookと閾値で再現性確保 |
問題タイプ別ドリル
Type A: インシデント初動 (first)
- 問い: 最初に実施すべき対応は何か
- 勝ち筋: 人命/安全確保 -> 証拠保全 -> 報告ライン確立
- NG選択肢: 即時再起動、即時削除、単独判断
Type B: 封じ込め判断 (best)
- 問い: 最適な封じ込め策は何か
- 勝ち筋: 事業影響と横展開リスクを同時評価
- NG選択肢: 全遮断で業務停止、影響未評価
Type C: フォレンジック
- 問い: 証拠の完全性をどう維持するか
- 勝ち筋: Chain of Custody、タイムスタンプ、改ざん防止
- NG選択肢: 原本で直接解析、記録なし
Type D: 復旧戦略
- 問い: どの復旧案を選ぶか
- 勝ち筋: RTO/RPOと事業優先度で選択
- NG選択肢: 速度優先のみ、整合性無視
30秒判定テンプレ
- 人命・安全リスク有無
- 証拠保全要件の有無
- IR(抑止)かDR(復旧)か
- Runbook準拠で実行可能か
誤答修正ルール(D7)
| Error | Fix Rule |
|---|---|
| 先に修復してしまう | Never destroy evidence first を固定 |
| IR/DRを混同 | 目的を1文で宣言してから選択 |
| 報告線を飛ばす | エスカレーション先を先に確定 |
反復メニュー(20分)
- 8分: Type A/B 5問
- 8分: Type C/D 5問
- 4分: 誤答の順序ミスだけ抽出