ゼロから始めるサイバー訓練

皆さんこんにちは。
インフラストラクチャーディビジョンの須藤です。

今回は、社内チーム内でサイバー訓練を行った様子をレポートしたいと思います。

  • これからサイバー訓練を実施してみたい
  • 訓練してみたいけど、どこから手をつければ良いかわからない

等の方々の参考になれば幸いです。


ターゲットとなる読者層

まず初めに、参考になるであろう読者層ですがお金がないけどサイバー訓練をやってみたい
でも、何から手をつけたら良いかわからない層に読んでいただけると良いかもしれません。
外部のサービスにお願いする場合は、あまり参考にならないかもしれません。


きっかけ

・サイバーセキュリティ体験講座に参加

それは、昨年の8月の出来事まで遡ります。 夏休みを利用して、CSIRTのカンファレンスに参加しました。
参加者には部課長クラスの方やセキュリティ担当者、サイバーセキュリティ対策推進室室長だったりと、そうそうたる肩書の方が参加されておりました。 そんな中、末席を汚す思いをしつつ講座に挑みました。

・体験してみたら想像以上に難しかった

実際、サイバー訓練を体験してみると、頭では理解していたつもりでも行動に移してみると何から手をつけるべきか判断に迷ったことに気づきました。
早速夏休み後、自社に報告し、弊社でもサイバー訓練を、、と提案しました。

・内製化するか?外注化するか?

外部サービスにお願いするとなったらいくらくらいかなぁと調べてみたところ、

  • A社...10万
  • B社…15万
  • C社…お問合せください( ^ω^)・・・

という状況でした。 どうやらサイバー訓練サービスは、昨今では売り手市場らしく、コンサルまで依頼するとン十万円になるそうです。
ちょうどこの時期にCSIRTプレイブックを手にし、この件に関連する項目を見つけました。

実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

実践 CSIRTプレイブック ―セキュリティ監視とインシデント対応の基本計画

  • 作者: Jeff Bollinger,Brandon Enright,Matthew Valites,飯島卓也,小川梢,柴田亮,山田正浩,谷崎朋子
  • 出版社/メーカー: オライリージャパン
  • 発売日: 2018/05/19
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログ (1件) を見る

それによると「背景知識や当事者意識がある内製のCSIRTは、総合的な有効性や効率性の点で外部サービスよりも優れた能力を発揮する」とありました。

最初は(お金をかけずに)サイバー訓練を内製化したいという割とネガティブな発想でしたが、この書籍をきっかけに、内製化することでサイバー訓練の効果を高めたい、というポジティブな発想に変わっていきました。


いざ着手、しかし。。

・目的とゴール設定

ただ訓練を実施するだけでは実施した満足感だけが残ってしまうので、目的とゴールを設定しました。

目的  = 現状を把握する、ルールにのっとって行動ができるか検証する
ゴール = キーパーソン不在の状況でも被害を最小限に留めることができる

目的とゴールさえ決まればあとは進めるだけだ!と思ったのも束の間。。
早速問題に直面しました。

・事例集め

ここに一番時間と労力をかけました。
サイバー訓練と一口に言っても業種や規模も様々だったのです。
以下に一例を挙げます。
例)

業界が違えば、サイバー訓練の定義も違うわけで、弊社に近い事例を集めるのは、困難を極めました。
その中で、下記のサイトは大変参考になりました。
-- 参考にしたサイト --
インシデントハンドリングマニュアル [JP CERT コーディネーションセンター]
サイバー攻撃対応演習の意義 [Telecom ISAC Japan]
CSIRTスタータキット [日本CSIRT協議会]
高度サイバー攻撃(APT)対応のための演習プログラム[JPCERTコーディネーションセンター]
訓練やっても意味がない!? ~標的型攻撃メール訓練 [株式会社LAC]

・訓練のポイント

サイバー訓練を成功させるうえで、私たちが明確にしなければならない 訓練のポイントを確認しました。

  • 参加者の目的を中心に構築し、目的を達成できなければならない
  • リアルなものでなければならない
  • 疑問を持たれず、納得されるものでなければならない
  • 意思決定者にいかにダメージを与えるかも重要

事例集めは大変でしたが、訓練に参加する方々の様子を想像したら楽しみで仕方がなかったです。
どんな展開になるんだろう?とワクワクしながら進めました。
限られた時間と内容で、現状を理解し、次へ繋げるために作った構成と進行方法、ルールは下記になります。

・構成

訓練時間    :1時間
ファシリテーター:1名 / サイバー訓練の司会、進行・記録を務める
参加者     :4名 / 訓練に参加する
現場責任者   :1名 / 参加者からの報告を受ける、アドバイスをしない

■ ファシリテータが用意するもの

  • ネットワーク構成図
  • ペン
  • 参加者の対応記録を時系列順に記せるもの

■ 参加者が用意するもの

  • ペン(PCは特に必要としない)

・進行方法とルール

サイバー訓練を実施する目的や規模感は、企業によって異なるので、ここでは参加者の大まかな対応の流れのみを記載します。

  1. ユーザから社内でインシデントが発生した連絡を受けます。
  2. ユーザに端末をネットワークから切断するよう依頼します。
  3. 状況確認と現場責任者への報告を行います。
  4. 原因の切り分けと復旧を目指します。

対応を実施するなかで、状況確認と原因の切り分けが必要になった場合、ファシリテータに情報提供を依頼します。
ファシリテータは答えを言ってはいけませんが、調査に必要な情報を提供することができます。

  • OK)
    • XX:YY-XX:ZZ までのアクセスログが欲しい
    • ウィルスチェックソフトのパターンファイルの更新状況を知りたい
  • NG)
    • 犯人は誰なのか知りたい
    • どんなウィルスが検出されたのか知りたい

 

参加者が考え込んだり、答えを求めても、決してファシリテーターは助言してはいけません。
実際の攻撃やインシデント発生を想定して訓練することが大事だからです。これは、現場責任者においても同様です。


訓練開始

インシデントはランサムウェアが社内に侵入したことを想定し、訓練を開始しました。
感染源と侵入経路の特定を急ぐとともに、被害を最小限にとどめる。
また、サービスの復旧を行う事をゴールにし訓練を開始しました。が、メンバー内での情報統制に時間がかかったり、原因の切り分けに時間がかかったりと、いろいろ課題が噴出しました。


振り返り

訓練終了後、一連の対応手順について、ファシリテータとともにおさらいします。
初動対応や手順に矛盾や不備がなかったか?あったとすれば、どのように改善すべきか?を話し合いました。
この話し合いを通じて、改善すべき事項が浮き彫りになりました。

主催者側の立場においても、訓練開始時にこれはサイバー訓練であり、ワークショップやゲームでないことを最初に強調すべきだった、等の反省点もあり、次はもっと質の高いサイバー訓練をしようという意識が高まりました。


まとめ

サイバー訓練はビル火災や地震などにおける避難訓練と同じで、実際の災害を想定し、繰り返し訓練し、対応手順を体に浸み込ませることが、有事の際に被害を最小限にとどめる上では重要なのだそうです。(何も起こらないのが一番なのですがw)

私たちは、訓練を通じて見つかった課題を1つ1つクリアし、サイバーインシデントに強い組織づくりを目指していきたいと思います。

最後までお読みいただき、ありがとうございました。