サイバー攻撃の手法が高度化・巧妙化する中、企業は日々多様化する攻撃への態勢づくりが求められています。「セキュリティインシデントに備える」、この必要性は企業においてだいぶ根付いて来たように感じています。
しかし一方で、
自社のインシデント対応態勢を整備したが、インシデントが発生した時に機能できるだろうか。
サイバー演習や訓練という言葉を聞くが、何をしたらよいのかわからない。
このような不安を持つセキュリティ担当者の声も多く聞きます。
そこで本記事では、サイバー演習に焦点を当て、その有効性や具体的な実施方法をご紹介します。
【What】「サイバー演習」とはなにか?
【Why】なぜサイバー演習が求められるのか?
近年ではサイバー攻撃の目的の変化や手法の高度化・巧妙化が進んだことで、攻撃を受けない、つまり完全に防御することが難しくなっています(図2)。
そこで、企業はインシデントが発生することを前提とした態勢作りや対策が求められますが、高度な攻撃に迅速かつ的確に対応することは容易ではありません。
図2. サイバー攻撃の目的・手法の変化(NRIセキュア作成)
実際に、NRIセキュアが実施した調査においても「セキュリティ担当者として最も対応に困っていること」で、『セキュリティインシデント発生時の緊急対応』が上位に入るなど、企業ではインシデント発生時の態勢づくりや、対応自体に悩みを抱えていることがわかります。
図3. セキュリティ担当者として最も対応に困っていること
出典:NRIセキュアテクノロジーズ株式会社 「NRISecure Insight2018」
インシデント発生に備えた態勢として、対応チームの組成や対応手順書の整備等が挙げられますが、机上での議論には限界があるでしょう。そのため、サイバー演習を通して対応方法を習得したり、課題の抽出を行って対応方法を見直したり、インシデント対応能力を向上させることが必要です。
また、政府からもサイバー演習の実施が求められており、経済産業省が策定したサイバーセキュリティ経営ガイドライン*1では、「指示7 インシデント発生時の緊急対応体制の整備」の中で、「インシデント発生時の対応について、適宜実践的な演習を実施させる」ことが求められています。
*1 サイバーセキュリティ経営ガイドライン:経済産業省とIPAが企業の経営層向けにサイバーセキュリティの考え方と重要項目を定めたガイドライン
【How】具体的になにをしたら良いのか?
サイバー演習は次のような3つのStepで行われることが一般的です(図4)。
図4. サイバー演習の一般的な流れ(NRIセキュア作成)
以降では、この3つのStep毎にポイントを解説していきます。
Step1. 演習計画
はじめに、演習の目的やシナリオの構想を練り、演習計画を立てます(表1)。その際、目的を明確にして、それに適した演習方式を選択することが重要です。
表1. サイバー演習の方式の例(NRIセキュア作成)
続いて、セキュリティ担当者の希望や、世の中の動向などを踏まえ、サイバー演習で取扱うシナリオのテーマを決定します。IPAの「情報セキュリティ10大脅威 2018」によると、2017年に発生した社会的に影響が大きかったと考えられる脅威TOP3には、標的型攻撃や、ランサムウェア、ビジネスメール詐欺が選ばれています(図5)。
図5. 2017年に発生した社会的に影響が大きいと考えられる脅威(NRIセキュア作成)
参考:IPA「情報セキュリティ 10大脅威 2018」を基に作成
IPAが「情報セキュリティ10大脅威2019」を公開!初ランクインの脅威とは?
NRIセキュアにて支援を実施した演習では、これらの動向を踏まえ標的型攻撃やランサムウェア感染をシナリオテーマへ設定した例や、今年施行されたGDPR*2への対応を取り上げた例があります。
*2 GDPR(General Data Protection Regulation):2018年5月25日に施行されたEUの個人データ保護の法律
Step2. 演習準備
演習の構想が決定したら、次に演習のシナリオや、演習で使用する資料を作成します。
演習では、メールや状況付与シートを使用し、現在の状況の説明や、演習参加者への対応を促します(図6)。
図6-1. 参加者へ送付するメール本文イメージ(NRIセキュア作成)
図6-2. 参加者へ提示する状況付与シートイメージ(NRIセキュア作成)
また、演習の参加者に対して事前説明会を開催すると良いでしょう。特に初めてサイバー演習を実施する場合は、以下の内容を事前に説明し、参加者に目的を理解してもらった上で本番に臨んでもらうことで、よりよい演習を行うことが出来ます。
- サイバー演習とは何か?
- 演習時にどのようなことを実施して欲しいか
- サイバー演習を通して、参加者に何を持ち帰って欲しいか など
Step3. 演習実施
演習本番では当初定めた目的を踏まえ、参加者ひとりひとりが、「実際にインシデントが発生した際に対応が可能か」、「改善可能な点は無いか」などを考え、演習に取り組みます。演習後には良かった点や課題点を振り返り、既存の規程類や手順書に反映するなどして、今後に活かすことが重要です(図7)。
図7. サイバー演習本番の流れ(NRIセキュア)
おわりに
サイバー演習は、1回実施すれば問題無いというものではありません。抽出された課題を踏まえて定期的な演習の開催や、シナリオや演習参加者を変更して実施するなど、繰り返しサイバー演習を行い、インシデント対応を磨き続けることが大切です。そうすることで、インシデントが発生した場合でも、場当たり的な対応ではなく、適切な対応が実施できるようになるでしょう。
NRIセキュアでは、サイバー演習の実施を計画している方むけに、『サイバー攻撃対応机上演習サービス』 を提供しています。
金融機関や製造業をはじめ、多くの企業に対する支援実績を有しているため、他社事例を踏まえた、より実践的なシナリオでの演習の実施が可能です。サイバー攻撃対応机上演習サービスにご興味がある際には、お気軽にお問い合わせください。