自社だけでできる、コスパ最強の「サイバー演習」実施レシピ&鉄則:中堅・中小企業向け、標的型攻撃対策の現実解(終)(2/2 ページ)
既存のインシデント対応体制を強化する方法の1つである「サイバー演習」は、組織のセキュリティ強化に欠かせない。今回はどの組織でも簡易的にサイバー演習を実践できる手法を紹介する。
シナリオ作成に向けて
・検証ポイントの整理
演習計画書で設定した目的に対して、演習を通して達成できたかどうかを確認するための指標が「検証ポイント」である。次のような「検証ポイント」を参考にして作成してもいいだろう。もちろん、演習の目的に「検証ポイント」が連動するため、この例の限りではない。
- 被害拡大防止に向けた判断
影響範囲に基づき、迅速に被害拡大防止策の必要有無を判断できるかどうか - ステークホルダーへのエスカレーション
社内外において、事態を収束させるために必要な人物への情報共有の要否を判断できるかどうか - 対策本部設置判断
検知した内容に対して要否を判断の上、全社的に有事対応するために対策本部を設置できたかどうか - 外部公表
サービス停止や情報漏えいなどが発生した際の外部への公表基準、公表体制が明確かどうか - サービス再開判断
インシデントが発生したサービスの再開方針が明確かどうか
・攻撃者の動機の検討
検証ポイントを検討しつつ、攻撃者の動機も検討することを推奨する。自組織がサイバー攻撃の対象となる理由はどのようなものが考えられるか。自組織が攻撃者の標的となる場合、何らかの理由が存在する。攻撃者になったつもりで、自組織を攻撃する動機を考察する。次のような動機があるかもしれない。
- 金銭目的
- 怨恨(えんこん)
- 政治的主張
・サイバー攻撃手法の選択
サイバー演習に当たり、どのようなサイバー攻撃がインシデントの起因となるかを検討する。サイバー攻撃を選択する際に重要なのは、そのサイバー攻撃が発生する可能性の有無だ。自組織で起き得るサイバー攻撃を選択しなければ、「そんなサイバー攻撃で被害は発生しない、こんな演習はムダだ」となり、サイバー演習は失敗に終わってしまう。そのため、事務局側で情報システムが分かる担当者が、サイバー攻撃の対象となるリソース案を用意する必要がある。
演習シナリオの検討
次に、演習参加者に状況付与を行う際の基になる演習シナリオを検討する。そこで準備したいのが、「机上サイバー演習用演習設計シート」(図3)である。この資料は、演習参加者への状況付与の骨子となり、演習全体を設計する上で重要な役割を持つ。あくまで一例だが、次のような項目を盛り込みたい。
- フェーズ
- 演習シナリオの各段階への番号付け
- 振られた番号の数値が増えるに従って演習シナリオの状況が深刻化する
- 実時間
- 演習の日時
- 演習の開始時間から終了時間までを記載して、演習の進行状況を確認できる
- 仮想時間
- 演習の世界で仮想的に用いられる日時
- 現在の時間か未来時間を記載することがポイント
- 演習シナリオ
- 発生している事象
- 仮想日時の進行とともに、状況が悪化していくことがポイント
- 設問
- シナリオの中で発生している事象に対して確認したい質問事項
- 検証ポイント
- 該当の演習シナリオ、設問で検証できる内容
- 想定する回答
- 該当の設問に対する想定回答
- 参照先
- 想定する回答の根拠となる資料、およびページ
ポイントは「設問」だ。これにより、演習の難易度を調整することができる。演習を初めて体験する参加者であれば、丁寧な設問を記載するといいだろう。次の例を参考にしてほしい。
- 誰に連絡しますか?
- どのように連絡しますか?
- 対策本部を設置しますか?
- 危機レベルは幾つですか?
演習を何度も経験している参加者であれば「どのように対応しますか?」といったオープンクエスチョン形式の設問でもよい。
サイバー攻撃が発生した際のリアルな状況に近づけるのであれば、オープンクエスチョン形式の設問がいいだろう。しかし、演習の難易度が上がるため、あくまでも演習の目的と演習参加者のレベル感を前提に考えてほしい。
演習シナリオの状況付与は複数回行う場合が多い。例えば、演習時間が60分間の場合は、10分間は検討時間を設けるとして、6回の状況付与が行われる。この6回分の演習シナリオをそれぞれ考える必要がある。
上記を踏まえ、机上サイバー演習用演習設計シートの内容を検討していくと次のような記載になる(図4)。例示している内容では「Emotet(エモテット)感染*)による情報漏えい」をテーマとしている。
*)情報の窃取に加え、さらに他のウイルスへの感染のために悪用されるウイルス。Emotetに感染させるためのメールの多くは、実在の相手の氏名、メールアドレス、メールの内容などの一部が、攻撃メールに流用され「正規のメールへの返信を装う」内容であることや、業務上開封してしまいそうな巧妙な文面であることが特徴となっている
フェーズ1でインシデント発生(サイバー攻撃)を検知し、フェーズ2でインシデントの状況を示し、フェーズ3で被害状況を述べている。徐々に深刻度が高まるようなイメージである。これを状況付与として演習参加者に見せる場合に、次のようにスライドに整理する(図5)。
演習ツール作成に向けて
机上サイバー演習の場合、演習当日に使用するツールは基本的に状況付与などを行う投影資料が必要になる。演習シナリオスライド以外に、どのような要素を盛り込むとよいかを説明する。
演習参加者は主に投影資料を見ながら検討していくことになる。演習設計シートで作成したシナリオ内容に、当日の時間割や演習の目的など、次に示す要素を盛り込み、演習を円滑に進められるように工夫する。演習参加者は、机上演習であれば、基本的に上記のスライドに記載のある内容、および当日のファシリテーターのガイドに従って検討することになる。
- 当日の時間割
- 演習に利用できる時間配分を記載する(図6)
- 演習の目的
- 演習をなぜ実施するのか、何を得てもらうのかを記載する
- 数字で示すとより具体的になる(××以上の課題を発見するなど)
- 演習の実施方法の説明
- 演習をどのように進めていくのかを記載する
- 状況付与後に、ファシリテーターが状況を説明する
- 演習参加者はグループディスカッションを行い、検討結果をワークシートに記載する
- 振り返り
- 演習終了後の振り返り事項を記載する
- ワークシートの記載内容を見直したり、シナリオの概要などを説明したりする
上記のような内容を盛り込みつつ、組織の実態に合った形で必要なスライドなどを追加していくといいだろう。演習シナリオも完成度合いも、演習を成功させるための重要な要素であるが、もう一つ重要な要素がある。それはファシリテーターの存在だ。
サイバー演習を実施する
サイバー演習に当たり、事務局側の演習当日の役割が重要になる。弊社が提供するサイバー演習では次の表のように役割を決めた上で演習当日を迎えるように取り決めている。
| 役割 | 概要 |
|---|---|
| ファシリテーター | 演習当日の進行 |
| シナリオクリエーター | 演習シナリオの作成者。演習シナリオに対する質疑応答に対応する |
| 補助役 | 演習が円滑に運営できるようにさまざまな補助を行う |
この中でも特に重要になるのが、ファシリテーターである。このファシリテーターがうまく対応できるかどうかが演習成功の鍵となる。ファシリテーターのスキルは一朝一夕で身に付くものではなく、サイバーセキュリティに関する十分な知識を持ち、ファシリテーション経験を積むことが重要になる。自組織で全てを対応する場合は、入念にリハーサルするといいだろう。補助役を設けている理由は、ファシリテーターのみの進行は、負担感が大き過ぎるためだ。事務局として対応できるメンバーが数名、サポ―トにまわると進行しやすい。
演習終了後、参加者の演習回答ワークシートへの回答内容やアンケート回答などを分析し、目的が実現できたのかどうか、課題は何なのかを明らかにし、何らかの文書や記録として残すとよい。
終わりに
ここまでのポイントを押さえることができれば、どの組織でも簡易的なサイバー演習を行える。セキュリティ対策というと、システムやプロダクトばかりに目が行きがちになるが、ルールやプロセス、体制といったところに盲点がないかどうかを確認する必要がある。
また、常に同じ演習を行うのではなく、対応力を向上するために変化を加えることも重要である。
本稿が読者のセキュリティ対応の一助となれば幸いだ。
ベースラインAPT対策コンソーシアム(BAPT)
標的型攻撃の包括的なソリューションを最適なコストで日本市場に提供することを目的として2016年10月に複数企業をメンバーとして発足したコンソーシアム。
参加企業は、ニュートン・コンサルティング、サイバーソリューションズ、インフォメーション・ディベロプメント、ウェブルート、ベル・データ、フェス、ゾーホージャパン。
筆者プロフィール
石井 佑樹(いしい ゆうき)
ニュートン・コンサルティング株式会社 コンサルタント
ベースラインAPT対策コンソーシアム(BAPT)のセキュリティコンサルティング支援メンバー。
リスク診断、CSIRT構築支援、サイバー演習支援、標的型メール演習などを提供。
前職では大手自動車販売会社向け基幹系システムのIT業務に従事。サポートしていた基幹系システムに大規模なサイバー攻撃があり、サイバーセキュリティ分野の必要性を強く認識し、現職に携わる。以降、サイバーセキュリティに関する講演の他、制御系や官公庁におけるサイバー演習シナリオの設計、運営に力を発揮。
CompTIA Security Analytics Professional
CompTIA Cybersecurity Analyst+
ITIL Foundation V3
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
サイバー脅威の机上演習(TTX)によってどんな学びを得られるのか――サイバーディフェンス研究所
@ITは、2018年2月7日、東京で「@ITセキュリティセミナー」を開催した。本稿では、サイバーディフェンス研究所による基調講演「サイバー演習支援で見出されたこと(Findings)と得られた教訓(Lessons Learned)」の内容をお伝えする。
本番さながらの演習「サイバークエスト」を支える「レッドチーム」の正体とは?
@ITは、2018年6月22日、東京で「@ITセキュリティセミナー」を開催した。本稿では、カーディフ生命保険、カブドットコム証券、ジャパンネット銀行、シティグループ証券、みずほフィナンシャルグループ、金融ISACによる特別講演「サイバークエスト 昼は銀行員、夜は――攻撃者チームが手口を語る」の内容をお伝えする。
NICT、演習自動構築システム導入で、受講者のスキルや業務に合ったサイバー演習を提供へ
情報通信研究機構(NICT)は、受講者のスキルや業務に合わせた効果的なサイバー演習を自動的に構築するシステム「CYDERANGE」を開発。NICTが政府機関や企業向けに提供するサイバー防御演習「CYDER」に導入し、業種や分野ごとに最適化した演習を提供するという。