サイバー脅威の机上演習（TTX）によってどんな学びを得られるのか――サイバーディフェンス研究所：＠ITセキュリティセミナー2018.2

＠ITは、2018年2月7日、東京で「＠ITセキュリティセミナー」を開催した。本稿では、サイバーディフェンス研究所による基調講演「サイバー演習支援で見出されたこと（Findings）と得られた教訓（Lessons Learned）」の内容をお伝えする。

[谷崎朋子，＠IT]

サイバーディフェンス研究所 専務理事／上級分析官 名和利男氏

　サイバー攻撃や被害発生が増加の一途をたどる現在、脅威にさらされた際の判断や対応能力の向上は組織の意志決定層および現場において喫緊の課題となっている。だが、攻撃の手法や対処法などの詳細はどうしてもIT側に偏りがちで、他分野を専門とする部門では十分にそしゃくし切れないこともある。

　サイバーディフェンス研究所では、そうした組織向けに机上演習（Table Top Exercise：TTX）などの実施支援を行っている。TTXの目的は、インシデント対応プロセスの精度向上と、実行可能な対処プロセスを策定するための知見の獲得だ。ファシリテーターの下で、最近のサイバー攻撃の実情に近く、その組織に起こり得るものを想定してシナリオを設計。日頃の情報収集や対応が適切か、リスク管理プロセスはどう改善できるか、自由に意見を出し合いながら議論する。

　2018年2月に開催された「＠ITセキュリティセミナー」で、基調講演「サイバー演習支援で見出されたこと（Findings）と得られた教訓（Lessons Learned）」に登壇したサイバーディフェンス研究所の名和利男氏は、実際に実施した幾つかのサイバー演習を例にTTXの流れを説明。TTXの各フェーズで「どんな学びを得られるのか」について解説した。

　TTXでは、シナリオを推し進めるイベント（状況付与）の説明を受けた後、「初動対処をどうすべきか」「詳細な技術調査で専門業者に委託する場合、どのような調査を要求すべきか」などを議論。そして、「従来のセキュリティ対策では不十分なケースが存在すること」「日頃の情報収集を怠って認識不足のまま対応に当たった場合の問題」などを体験しながら、最適な対応プロセスを模索する。

　例えば情報収集の不足で影響評価が正しくできない場合、何が起きたのか推測できる範囲は狭まる。結果、分からないままに現場や意志決定層の間で何度も手戻りが発生し、無限ループに陥り、限定的あるいは的外れな対応で終わってしまう。

　「しかも緊急対処に慣れていないと、この手戻りのループが高速回転し、一瞬素晴らしい対応を行っているような錯覚に陥る。しかし、これは一番避けたい状況であるのは間違いない」

　普段の情報収集で状況認識力が養われていれば、調査すべき箇所が即座に分かり、時間はかかっても的確に原因を追究できる。例えば、メールを介したスピアフィッシングの場合、一般的な組織であればデータ窃取を目的とした攻撃プロセスを展開するため、既存のセキュリティ対策製品で対応可能な部分もある。しかし、産業制御システムを狙った攻撃の場合、目的の多くはデータ破壊だ。よく語られる対策だけでは見つからないこともある。そうした認識があれば、対策も早い。

　「TTXは、対応全体における知見を得られる以外にも、プレイヤー間の気付きも得られる。例えば、演習参加者はディスカッションなどを通じて、それぞれの役割に沿って初動対処に関する意見を出し合うが、他の参加者は“あの立場の人はこういう発想をするのか”と知ることができる。これにより、何をどう伝えればいいのか、どんな情報交換ができるかが分かり、実際のインシデント発生時の対応で効いてくる」

　最後に名和氏はTTXで得られた教訓として、「サイバーインテリジェンスなどを活用し、最近発生しているサイバー脅威のうち、自組織のシステムで起こり得る攻撃ベクターを想定する」「想定外をなくすように努力する」「システムの仕様上、ディスクやメモリに必然的に残る“痕跡／証跡”と、設計者や開発者などが特定の目的で記録する“ログ”がどこにあるかを知り、適材適所で活用できるようにする」という3つのポイントを紹介。「ぜひセキュリティ対策の推進で役立ててほしい」と締めくくった。