元ゲーマーが仕掛けるサイバー攻撃机上演習に、企業のセキュリティリーダーたちが挑む（1/2 ページ）

[酒井真弓，ITmedia]

　サイバーセキュリティは「経営会議で語られる問題」に移ったといわれるようになって久しい。セキュリティ侵害や情報漏えいがビジネスに及ぼす影響は、企業ブランドの毀損にとどまらず、業務停止、顧客対応の増大、人材流出など事業継続性に関わる。そんな中、組織的なインシデント対応力を養う手段として「サイバー攻撃演習」が注目を集めている。

　筆者は昨年、あるサイバー攻撃演習に密着し、緊迫の一部始終を見守りながらレッドチームや参加者の声を取材した。リアルに近い体験から得られるものの濃さと多さに圧倒され、アイティメディアでも演習をやってみたいと考えるようになった。

　今回実施したのは、「サイバー攻撃“机上”演習」だ。とある企業を襲ったインシデントとフェーズごとの対応をもとに、A〜Dの4つのグループに分かれ、問題点や必要なアクションを議論した。講師を務めるのは、『サイバーセキュリティマネジメント入門』著者の鎌田敬介氏。さらにオブザーバーとして、内閣サイバーセキュリティセンター 内閣審議官 三角育生氏が加わった。

『サイバーセキュリティマネジメント入門』著者 鎌田敬介氏

　鎌田氏は、12年に渡り、国内外でサイバー攻撃演習を実施するなど実践的なノウハウを届けてきた人物。全盛期には某アーケードゲームの全国TOP10にランクインしていた筋金入りの元ゲーマーで、遊び心のある仕掛けが得意だ。今回の“遊び”は、インシデント対応現場の映像化だ。インシデント対応フェーズに沿った7つのシーンからなる動画の出演者は、ほとんどが企業のセキュリティ担当者。演技は素人同然にもかかわらず、セリフや行動の端々から妙なリアリティを醸し出してしまうドラマに仕上がった。

　本演習は再演を予定しているため、本稿ではネタバレを避け、エッセンスをお届けしたい。

突然舞い込んだ第一報「ファイルが開けない」

　「ファイルが開けない」という営業部長からの問い合わせで演習はスタートする。ここでは、第一報を受けての初動対応について議論し、チームごとに意見をまとめて発表した。

内閣サイバーセキュリティセンター 内閣審議官 三角育生氏

　オブザーバーの三角氏は、「政府で同じことが起きたらどうするか」と自分に置き換えた上で、業務に影響が出そうであれば、粗々な情報でもよいのでまずはトップに報告することを挙げた。自らが策定に携わった「政府機関等の情報セキュリティ対策のための統一基準」にも触れ、緊急を要する時には普段のエスカレーションルートをバイパスしてトップに迅速に報告ができる体制も整えておくべきだと呼びかけた。

　また、世界各国で猛威を振るった「WannaCry」の存在が日本で報道され始めたのは、土曜日だった。三角氏は、「休日だったため、実被害の拡大は避けられたが、関係者との情報連携は大変だった」と振り返る。土日、夜間など連絡が取りにくいタイミングでも一斉に情報伝達できる手段を持っておくことが重要そうだ。

　鎌田氏は初動対応について、「少ない情報から判断し、何らかの対応をしなければならない上、後から“なぜあの時ああしなかったのか”とあれこれ批判されるフェーズ」と難しさを語り、「なるべく多くの情報や判断材料を集めることに加え、普段から初動で取り得る選択肢の洗い出しをしておくこと」が有効だとした。

次々ともたらされる新たな情報

　動画では、対応に追われるIT部門に次々と新たな情報がもたらされる。鎌田氏は、「社員からのヒアリング内容をベースに対応していたら実際の状況と違っていた、セキュリティ検知機器の通りセキュリティ侵害前提で動いていたらログの読み間違いだった、などはよくあるケース」と紹介。ここでは、いかに情報を集め、正確に状況を把握するかが議論された。