銀行や証券会社などの金融機関は、非常に多くのサイバー攻撃にさらされ続けている。それらと最前線で戦うには何が必要だろうか。影響を最小限に抑えるべく、優先順位をつけつつ手を打っていかなければならない。
大半のサイバー犯罪者の目的は「金銭」。従って、金銭的価値そのものを取り扱う銀行や証券会社などの金融機関は、マルウェアによる不正送金やDDoS、情報漏えいを狙った不正アクセスなど、非常に多くのサイバー攻撃にさらされ続けている。
それらと最前線で戦うには何が必要だろうか。何か特定の製品を導入すれば防御できるとか、1人スーパーマンがいるから対応できるといったものではない。チームとして取り組み、時に部署や企業の枠を超えて協力し、顧客をはじめとするさまざまな関係者に与える影響を最小限に抑えるべく、優先順位をつけつつ手を打っていかなければならない。
こうした背景から、多くの金融機関はCSIRT(Computer Security Incident Response Team)、もしくはそれに類する組織を整備し、経営層も巻き込んだ対応体制を整備してきた。
ただ、頭では大事だと分かっていても、体はなかなか即座に動くものではない。かといって、自社インシデントで失敗しながら実戦経験を積むなど無理な話だ。そこで、安心してどんどん失敗できる演習に参加してもらい、今後に生きる経験を積んでもらおう――そんな趣旨で金融ISACが年に1回開催しているのが「サイバークエスト」だ。
金融ISACは、金融機関間でサイバーセキュリティに関する情報分析・共有に取り組む「共助」のための組織で、さまざまなワーキンググループに分かれて活動している。
サイバークエストは一泊二日の合宿形式で行われる演習だ。金融ISACの正会員となっている銀行や証券会社など、全国各地の金融機関のリスク担当者やIT担当者が参加し、同時並行的に発生するさまざまなインシデントに対応する。全国の金融機関から、年次も経験も業種も職種もさまざまな社員が集まり、混成部隊を結成して架空の銀行の中の人として対応に当たる、というのが基本シナリオだ。
現実には、情報漏えいをはじめとする深刻なセキュリティインシデントが同時多発的に発生するというシチュエーションはまずないだろう。だがサイバークエストではあえて次から次へとインシデントに直面させることで、高負荷の中でモアベターな方法を見いだし、適切に対応する術を問う。ひいては自分たちに欠けていた視点やスキルに気付き、それぞれの会社に戻ってから何に取り組むべきかに気付いてもらう、という仕掛けだ。
ここでいう「対応」には、ITシステムの調査・修復といった技術的な側面だけではなく、状況を整理し、リソースを適切に割り振るとともに、経営層や関係省庁に報告して判断を仰ぐといった、調整管理能力も含まれる。
そこでタカスギ銀行の組織は「技術チーム」と「管理チーム」に分けられており、演習も離れた別室で連携しながら行う。技術チームは実際にシステム対応に当たる現場の「第一線」、管理チームはいわゆるCSIRTやセキュリティ室として調整・司令塔の役割を果たす「第二線」として、経営層との連絡のほか、さまざまな対外コミュニケーションも担う。各チーム内、そして技術チームと管理チームとの連携をいかにスムーズに行うかも重要なポイントだ。
ただ、回を重ねるごとにハードルが高くなってはいけないという配慮から、4回目を迎える「サイバークエストIV」ではインシデントの発生率ごとに「Basic」「Advanced」「Next Generation」の3チーム(「ヤススギ銀行」「フツスギ銀行」「タカスギ銀行」)に分け、初めて参加する人はもちろん、エンジニア以外のいろいろな立場の人が参加しやすくした。
これは、3チーム間の「連携」によるインシデント対応も視野に入れての仕掛けだったという。昨今のオンライン不正送金事件では、ある銀行から別の銀行に不正送金が行われ、両行が連携して口座凍結などの対応に当たらなければならないケースも増えている。そこで、チーム間でコミュニケーションを取らないとうまく解決できないシナリオも演習に盛り込み、「隣の銀行と協力、連携する」ことの意義も感じてもらおうとした。
サイバークエストは、実に多くの人の協力によって支えられている。攻撃者として仕掛けを講じ、次々に攻撃を行うレッドチームの他、管理チームからの報告を受け取り、意思決定を下す「CISO/役員室」、顧客やマスコミの記者といったさまざまなロールを演じつつ、演習がスムーズに進行するようチームのファシリテートも行う「コールセンター」と、さまざまな参加者がそれぞれの役割を果たしながらシナリオが進んでいく。
中でもシナリオを大きくけん引するのはやはりレッドチームだ。サイバークエストの仕掛け人である金融ISAC 専務理事/CTOの鎌田敬介氏は、日頃からグローバルで発生しているセキュリティインシデントの情報を収集し、その中から面白そうなものを選んではサイバークエストのシナリオに組み込んでいるそうだ。技術的な対策だけでは防げない、物理的な侵入やプロセスの穴をついた事案まで幅広く収集し、吟味している。
こうした「調査結果」を踏まえ、レッドチームは演習開始直後から、あらかじめ仕込んでおいた30〜40種類の攻撃を各チームのシステムに仕掛けていく。この結果、ファイアウォールの脆弱(ぜいじゃく)性を突かれて顧客情報が漏えいしたり、Webサイトの問い合わせフォームが改ざんされたり、DNSの設定が変更されたり、なぜかオフィスにおいてあったUSBメモリを差し込んでしまい、イントラネット内の端末がランサムウェアに感染したり、はたまた偽のアクセスポイントに接続して不正なアプリをダウンロードしてしまったり……と次々にインシデントが発生する。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授