金融機関にふさわしい対応の在り方を問うた「サイバークエストIV」：本番より過酷な演習で転んだ経験をサイバー犯罪対策の最前線に生かせ（1/3 ページ）

銀行や証券会社などの金融機関は、非常に多くのサイバー攻撃にさらされ続けている。それらと最前線で戦うには何が必要だろうか。影響を最小限に抑えるべく、優先順位をつけつつ手を打っていかなければならない。

[高橋睦美，ITmedia]

　大半のサイバー犯罪者の目的は「金銭」。従って、金銭的価値そのものを取り扱う銀行や証券会社などの金融機関は、マルウェアによる不正送金やDDoS、情報漏えいを狙った不正アクセスなど、非常に多くのサイバー攻撃にさらされ続けている。

　それらと最前線で戦うには何が必要だろうか。何か特定の製品を導入すれば防御できるとか、1人スーパーマンがいるから対応できるといったものではない。チームとして取り組み、時に部署や企業の枠を超えて協力し、顧客をはじめとするさまざまな関係者に与える影響を最小限に抑えるべく、優先順位をつけつつ手を打っていかなければならない。

　こうした背景から、多くの金融機関はCSIRT（Computer Security Incident Response Team）、もしくはそれに類する組織を整備し、経営層も巻き込んだ対応体制を整備してきた。

　ただ、頭では大事だと分かっていても、体はなかなか即座に動くものではない。かといって、自社インシデントで失敗しながら実戦経験を積むなど無理な話だ。そこで、安心してどんどん失敗できる演習に参加してもらい、今後に生きる経験を積んでもらおう――そんな趣旨で金融ISACが年に1回開催しているのが「サイバークエスト」だ。

一泊二日で次々に襲い来るインシデントに対応し、失敗から学ぶ

　金融ISACは、金融機関間でサイバーセキュリティに関する情報分析・共有に取り組む「共助」のための組織で、さまざまなワーキンググループに分かれて活動している。

　サイバークエストは一泊二日の合宿形式で行われる演習だ。金融ISACの正会員となっている銀行や証券会社など、全国各地の金融機関のリスク担当者やIT担当者が参加し、同時並行的に発生するさまざまなインシデントに対応する。全国の金融機関から、年次も経験も業種も職種もさまざまな社員が集まり、混成部隊を結成して架空の銀行の中の人として対応に当たる、というのが基本シナリオだ。

　現実には、情報漏えいをはじめとする深刻なセキュリティインシデントが同時多発的に発生するというシチュエーションはまずないだろう。だがサイバークエストではあえて次から次へとインシデントに直面させることで、高負荷の中でモアベターな方法を見いだし、適切に対応する術を問う。ひいては自分たちに欠けていた視点やスキルに気付き、それぞれの会社に戻ってから何に取り組むべきかに気付いてもらう、という仕掛けだ。

　ここでいう「対応」には、ITシステムの調査・修復といった技術的な側面だけではなく、状況を整理し、リソースを適切に割り振るとともに、経営層や関係省庁に報告して判断を仰ぐといった、調整管理能力も含まれる。

　そこでタカスギ銀行の組織は「技術チーム」と「管理チーム」に分けられており、演習も離れた別室で連携しながら行う。技術チームは実際にシステム対応に当たる現場の「第一線」、管理チームはいわゆるCSIRTやセキュリティ室として調整・司令塔の役割を果たす「第二線」として、経営層との連絡のほか、さまざまな対外コミュニケーションも担う。各チーム内、そして技術チームと管理チームとの連携をいかにスムーズに行うかも重要なポイントだ。

「技術チーム」の活躍を生かすも殺すも「管理チーム」次第。ホワイトボードに戦いの軌跡がびっしりと残る

　ただ、回を重ねるごとにハードルが高くなってはいけないという配慮から、4回目を迎える「サイバークエストIV」ではインシデントの発生率ごとに「Basic」「Advanced」「Next Generation」の3チーム（「ヤススギ銀行」「フツスギ銀行」「タカスギ銀行」）に分け、初めて参加する人はもちろん、エンジニア以外のいろいろな立場の人が参加しやすくした。

　これは、3チーム間の「連携」によるインシデント対応も視野に入れての仕掛けだったという。昨今のオンライン不正送金事件では、ある銀行から別の銀行に不正送金が行われ、両行が連携して口座凍結などの対応に当たらなければならないケースも増えている。そこで、チーム間でコミュニケーションを取らないとうまく解決できないシナリオも演習に盛り込み、「隣の銀行と協力、連携する」ことの意義も感じてもらおうとした。

最新のセキュリティインシデントを参考に練られたシナリオ

　サイバークエストは、実に多くの人の協力によって支えられている。攻撃者として仕掛けを講じ、次々に攻撃を行うレッドチームの他、管理チームからの報告を受け取り、意思決定を下す「CISO/役員室」、顧客やマスコミの記者といったさまざまなロールを演じつつ、演習がスムーズに進行するようチームのファシリテートも行う「コールセンター」と、さまざまな参加者がそれぞれの役割を果たしながらシナリオが進んでいく。

　中でもシナリオを大きくけん引するのはやはりレッドチームだ。サイバークエストの仕掛け人である金融ISAC 専務理事／CTOの鎌田敬介氏は、日頃からグローバルで発生しているセキュリティインシデントの情報を収集し、その中から面白そうなものを選んではサイバークエストのシナリオに組み込んでいるそうだ。技術的な対策だけでは防げない、物理的な侵入やプロセスの穴をついた事案まで幅広く収集し、吟味している。

サイバークエストの仕掛け人、金融ISAC 専務理事／CTOの鎌田敬介氏）

　こうした「調査結果」を踏まえ、レッドチームは演習開始直後から、あらかじめ仕込んでおいた30〜40種類の攻撃を各チームのシステムに仕掛けていく。この結果、ファイアウォールの脆弱（ぜいじゃく）性を突かれて顧客情報が漏えいしたり、Webサイトの問い合わせフォームが改ざんされたり、DNSの設定が変更されたり、なぜかオフィスにおいてあったUSBメモリを差し込んでしまい、イントラネット内の端末がランサムウェアに感染したり、はたまた偽のアクセスポイントに接続して不正なアプリをダウンロードしてしまったり……と次々にインシデントが発生する。