■ 訓練のテーマは様々。

・地震、パンデミック、システム障害など訓練で結構違う。
・事例としては結構あり、1984年にはNTTの火災事故で世田谷一帯が通信できなくなったり、2006年には木場で接触事故があった影響で首都圏で停電が起きるなど。
・訓練にはいくつか種類があり、机上、システムの稼働確認、業務部門の実務を一部含むといった感じで後者になるにつれ難易度も上がる。
・規模が大きくなってくると１年では全部やりきれず、AIDOさんが所属する金融業では毎週やっている。
・抜き打ち訓練と計画訓練にはそれぞれメリット、デメリットがある。(細かいところはメモ取り忘れ)
・ただ、いずれにしてもこれらはすごい協力が得難い。
・すごく協力が得難い

■ 非常時こそ結果報告が大事

・やっているのかやってないのかわからない。
・三菱重工長崎造船所火災の事例
　マニュアルに消化器で消していいと行った記載が無いため、人も消化器もあったにもかかわらず、全部燃えた。
　消化器で消化剤を当てたら責任問題となるため、勝手に動けなかったという顛末。

■ 訓練をやって確かめよう。

・チェックポイントは次のところ。
　* 議事録が残っているか
　* 責任者も出席しているか
　* 各部署の行動や順番、時間にも矛盾は無いか
　* 時間進行は詳細に記載されているか
　* 駆けつけ時間が考慮されているか
　* 訓練の所要時間や設定は適正か
　あとはタイムキーパーの存在も重要です。時間通りに進行しているかどうかは訓練を(先に何が起きるか知っているから)端折っている可能性もあり、そのチェックで有効だからだそうです。
・訓練設備についても要チェック
　* 保守状況は規定されているか
　* パソコンが有事にすぐ使用できる状態になるか
　* 対策スペースは専用スペースになっているか
　* テレビ会議や必要な台数の電話が確保されているか
　* 備品は整備されているか（ホワイトマーカーとか）

■ 訓練時の記録からわかること

・時間通りに進行しているか
　事前に作成したシナリオの精度が低いと、時間のズレとなって現れる
・順番通りに進行しているか
・訓練時の行動に担当者時刻が全て記載されているか

■ 訓練後にも行うべきこと

・訓練で得た成果物のフィードバックが実施されているか
　特に訓練に使用した帳票などは非常に貴重なので再利用すべきだそうです。

■ まとめ

・訓練をやっつけでやってもダメだよ
・担当者に押し付けて上は報告だけのパターンはもっとダメ
・面倒だけど役に立つときは絶大な効果がある
・頑張った証拠は客観的に残せる
　
最後に「上層部に理解を得るにはどうすればいい？」といった質問がありました。それに対しては、「訓練自体は実際のところさほどお金はかからない。外注に出すとうんぜん万飛んでいくが、AIDOさんが行ったら300万ぐらいだった。高いバックアップシステム買って、いざというときに使えないなんてことになるよりも、日頃から手を動かして訓練していた方が安く済みませんかという返し方もあるよ」とのこと。…AIDOさんのような手練れでないと言えない返し方でもありますね。
　

どこかの会社がストリーミング

・Android向けのサービス
・月額1500円定額で音楽聞き放題
※上記でぐぐって出てくる会社が今回ととろさんがお話しされているところかどうかは私は知りませんのであしからず。

■ IPAに報告した。

・脆弱性である旨を申請したが、脆弱性ではないと連絡があり、IPAから「これは問題ないよ」というお墨付きを得たので今回お話しできた。
・今の状況はやったもの勝ちに近い。
・もしかして定額でおいしい？？

■ もしかして？

・ローカルに残らない？
・ストリーミングで配信しているから だそうだが・・？
・AndroidでDRM処理しているのか？そしたらやたら重くならないか？
・通信内容、当然暗号化しているはずだよね・・？
という流れでどんどんと黒い連想が浮かび…。

■ そこでMITMしてみた。

・してみたら楽しい結果がボコボコと出るよ。
・定額で音楽データ取り放題

と、いった感じで最後に本来ならDEMOがあったはずなのですが、
http://twitter.com/totoromasaki/status/99660351565606912:twitter:detail:left
というわけで実際にサービスを利用したDEMOは今回なく、検証して取得されたPCAPファイルから音楽ファイルを抽出するというところをお見せいただきました。怖いですね！
　
というわけで、目覚ましSPは終了。時間的にはお二人で丁度お昼となり、無事終了。午後からは合同勉強会ですね！続く。