最終回：サイバー攻撃対応演習の実施

前回は現実的な演習を行うための準備と、そのシナリオ作成の仕方についてご紹介しました。今回は実際の演習実施とその評価についてです。

■実際に情報インシデントが起きた想定演習（前回）
https://www.risktaisaku.com/articles/-/20312

1.演習時間と流れ

まず実際の演習実施時間は、演習内容によって異なりますが、一般企業の部署に対する演習であれば約1日かけて、2～3つのシナリオを実施するケースが多いです。1つのシナリオにつき2～3時間程度を要し、シナリオ実施後の演習当日中に簡単なレビューを行い、後日演習結果の詳細報告を行います。

2.演習実施

演習はファシリテーターと受講者に分かれて、演習シナリオが実施されます。

まずファシリテーターがインシデント要因となる事象を受講者に知らせます。受講者はそのインシデントの兆しに対する調査などを“インシデント対応マニュアル”に沿ってチーム内で意思決定し、アクションを決め、関連部署および外部団体などへの指示を行います。これが演習の基本動作になります。
受講者以外（関連部署、団体など）の仮想的な対応はファシリテーターが行い、結果を受講者に通達します。それを繰り返し、サイバー攻撃被害を最小化するための受講者行動の訓練を演習で行います。

3.演習例

企業端末がマルウェア感染に侵された演習例（一部）を挙げて説明します。

上記の演習フローは、情報システム部とCSIRTが受講者となった例です。

1）ファシリテーターがランサム被害にあった担当として振る舞い、自分のPCが制御不能（ロックされた）となった事象を情報システム部に報告します。
2）情報システム部は、被害対象となったPCに対する情報取集アクションをインシデント対応マニュアルに沿って指示します。（資産管理番号、ロックされた画面など）
3）次にランサム被害の可能性が高いため、情報システム部はCSIRTチームに一次報告を上げます。それを受け取ったCSIRTチームは、端末の隔離指示を返します。
4）その後、トリアージ作業に移り、さらなる詳細情報を取得するため、外部のセキュリティアプリ会社に情報取得のためのアクション問い合わせを指示します。
5）ファシリテーターはセキュリティアプリ会社として振る舞い、情報取得のための指示を返します。

上記のように、受講対象者は起きてしまったインシデントに対して、なるべく具体的な指示が早急に出せるかどうかが演習のキーファクターになってきます。ファシリテーターは各アクションの対応内容をチェックします。より早く、明確な指示がないと収束に時間がかかるようにファシリテーターは振る舞います。

4.演習行方

演習の結果は受講者のアクションの素早さや指示の正確さによって結果が異なります。例えば、演習対象システムがマルウェア感染の疑いのある状態に陥ったとします。しかし、このシステムを停止すると企業の売り上げにダメージを与えてしまうリスクがあります。

いつ、どのような手段でリスクを回避しながらインシデントレスポンスをしなければならないか？受講者の対応によって結果は左右されます。対応を間違えると長期にわたってシステム復旧ができなくなるといったBAD ENDのシナリオも存在します。

5.演習結果

演習結果の評価レポートについて説明します。下記はアライドテレシスで行っているサイバーセキュリティ演習―DECIDE（R） Platform―のサンプルレポートです。

評価レポートは下記の内容が記載されています。
１）演習評価対象の説明
演習対象組織と対象システムの内容が記載されます。
２）演習で行った攻撃内容と全体評価
今回行った攻撃の具体的内容とそれに対応した部門の総合評価です。ここには会社全体に対する今後の改善ポイントなどが記載されます。
３）シナリオ別評価
シナリオ別評価には詳細な評価内容―インシデントレスポンスアクション時の評価―が記載されており、また部門ごとの改善ポイントやインシデント対応マニュアルの改善ポイントなども記載されます。また演習対応に対するGoodポイントも記載されます。

演習結果の評価レポートは、組織ごとに用意されているインシデント対応マニュアルの改善のツールとして活用いただくことを推奨します。

このようにサイバー攻撃対応演習は、有事の際にどのように振る舞えるか、といった組織の現状を知るには非常に有効です。しかしながら、実践するには演習企画側に多くの経験と準備が必要になります。
　

6.演習ツール・方法

実際に演習の実践に関して説明します。今まで行われていた方法は受講者を演習ルームに集め、演習を実行する方法です。

演習ルーム内で使用するメールサーバーを立て、攻撃対象システムを表示し、インシデント内容をファシリテーターから周知し、各チームで対応を決定していきます。

この方法は演習のために環境を用意し、シナリオ進行をすべてファシリテーターがマニュアルで行います。各チームのアクションに対応するシナリオ進行などもマニュアルで行う必要があるので、ファシリテーターに非常に大きな負荷がかかります。

また、大規模演習を実行する場合には事前準備に多くの時間が必要になります。最近では演習を自動化するためのツールもあり、その中の一つである、アライドテレシスがサービスを開始している演習プラットフォームに関して紹介します。

・新しいタイプのサイバー攻撃対応演習―DECIDE® Platform―の紹介

アライドテレシスは、昨年からサイバー攻撃対応演習サービス「DECIDE（R） Platform（プラットフォーム）」を開始しました。DECIDE（R） PlatformはWebプラットフォーム型のサイバー攻撃対応演習です。インターネット接続環境があれば、受講者はどこからでも演習を受けることができます。

また、このプラットフォームは、演習で必要な要素、メールなどのコミュニケーションツール、セキュリティ技術情報、そして演習アクションに関する質問ウィンドウなどが一つになっています

必要な情報がＡll in Oneで表示されるユーザーインターフェースを持っており、インシデント発生時の市場状況や、インシデントに関する受講者のアクション決定などはこのインターフェースでカバーできます。

他にも、受講者の回答状況、シナリオの進捗状況などファシリテーターがリアルタイムに確認でき、簡単に管理することができます。そして演習終了時に、回答結果なども集計できるので、その日のうちに簡易レビューとして受講者に説明することも可能です。ファシリテーターと受講者のどちらに対しても便利なツールになっています。

Web型プラットフォームの演習ツールなので、物理的な位置が離れていても演習が行えるため、大規模演習の実施も可能です。
例）グローバル企業での演習、関連会社との合同演習など

この演習は米国での実績が多くあります。DECIDE（R） Platformを開発したのはNUARI（https://decideplatform.com/）という、米国の国土安全保障省と国防省から資金を投入されたNPOです。このプラットフォームは米国の金融機関を対象に大規模演習にも使用され、実際に起きたインシデントをベースにしたさまざまなシナリオが用意されています。アライドテレシスはこのNUARIと協業してカスタマイズ・ローカライズなどを行い、日本のユーザーに合ったサイバーセキュリティ演習を提供しています。

このように、サイバー攻撃に対応するためには、“実際の事例を参考にした演習”を行うことが非常に重要です。自社内で実践する場合は、リファレンスとなる事例を参考にすることをお勧めします。　

演習のポイントとしてもう一つ重要な点は関連団体との影響を意識したシナリオを用意することです。サイバー攻撃による情報インシデントの影響は自社内にとどまらず、関連企業にも関わります。サイバー攻撃を100％防ぐことは不可能なので、発生時の各部の行動は対象部だけではなく関連部署・企業を意識したシナリオが実践的です。このような演習を定期的に実施し、関連会社などへの被害を最小限に防げる組織にしておきましょう。

・最後に
2019年4月から計12回にわたり「企業よ、サイバーリスクに備えよ」のタイトルで、サイバー攻撃に遭った後のリスクを軽減するための施策に関して、システム・ネットワーク・設備・組織の観点からお話しをさせていただきました。サイバー攻撃は常に進化しているので、今までに掲載してきた対策もそれに合わせて進化しているでしょう。また機会がありましたら、ご紹介していきたいと思います。

（了）