セキュリティの机上演習

セキュリティの机上演習では、チームの動きやプロセスの流れを検証します。架空のサイバーインシデントを設定し、主な関係者間でシミュレーションしながら、対応策の評価や、弱点の特定を行うほか、体制の改善について話し合います。こうした机上演習は、インシデント対応計画の見直しはもとより、コミュニケーションの促進、実際の脅威に対するレジリアンスの構築を目的としています。

backgroud-texture-bg-2

セキュリティの机上演習が重要な理由

  • 盲点の特定:セキュリティの机上演習を通じて、サイバーセキュリティの盲点を特定すれば、サイバー犯罪者による盲点の悪用を防げます。 
  • セキュリティポスチャの分析:自社のセキュリティポスチャを評価して最適化する方法を見つけることができます。
  • コミュニケーションの分析:サイバー攻撃への対応において障壁となりうる、チーム間や部門間のコミュニケーションの問題を特定できます。
  • コンプライアンス:セキュリティの机上演習を実施、文書化することは、規制が特に厳格な業界の多くで、インシデントへの事前対策として義務付けられています。 

セキュリティの机上演習の種類

即応シナリオ

ISACA の定義によると、即応シナリオとは「ごく基本的な内容で、簡単で理解しやすく、議論を促進するようなもの」です。準備はほとんど必要なく、10 分~30 分程度で終了します。

即応シナリオには、さまざまな経歴を持つ初級、中級、上級のチームメンバーが参加できます。これらのチームメンバーには、十分な時間が与えられ、複数のシナリオを検討することができます。また、各チームメンバーがインシデント対応の担当者としてのそれぞれの役割を果たすことができます。

技術に特化したシナリオ

技術に特化したシナリオは、通常、1~2時間かけて実施します。このようなシナリオでは技術的な深い議論が求められ、大規模な計画が必要となります。このシナリオでは、チームメンバーはセキュリティインシデントの技術的側面を評価できます。

技術に特化したシナリオでは通常、「シード」イベント (開始点) を用います。このイベントが展開されるときに、さらに詳細を追加することができます。このシナリオは、チームメンバーが複雑なサイバー攻撃に備えるために役立ちます。

すべての関係者が参加するシナリオ

すべての関係者が参加するシナリオは、技術に特化したシナリオを拡張したものです。このシナリオでは、技術的な問題と技術的以外の問題、そしてロジスティクスに重点を置いています。

このシナリオは通常、2~4時間かかります。このシナリオに参加するチームには、技術的なチームメンバーに加え、法務、マーケティング、人事の専門家が含まれることがあります。

すべての関係者が参加するシナリオは、チームや部門間のコミュニケーションの改善を図りたい組織に最適です。技術系および非技術系の両方の担当者に参加してもらうと効果的です。これにより、多くのチームや部門の参加者が集まり、一致協力してセキュリティの問題に取り組む機会を得ることができます。

チームや部門がこのシナリオの異なるタイミングで参加するように求めている組織もあります。これにより、チームや部門は、実際のセキュリティインシデントが発生した場合と同じように対応に関わることができます。

セキュリティ机上演習の実施担当者

サードパーティ

サードパーティの机上演習サービスプロバイダーが、進行を管理し、議論を促します。そのため、シナリオの設定や運用に関する労力はほぼ不要です。

組織や環境に応じて、机上演習の内容を調整してもらうことも可能です。その場合、サードパーティが組織やセキュリティ上の課題について把握したうえで、組織や、チーム、部門に適した独自の机上演習を考案します。

自社で準備

自社で独自に机上演習を準備することもできます。計画から実施まで、コストや時間がかかりますが、訓練の内容を組織や環境に合わせて調整できるのがメリットです。

独自の机上演習の場合は、自社特有のセキュリティ課題について学べます。たとえば、参加者が日常的に使用するシステムに課題があるとしたら、もっと真剣に捉えてもらい、参加意識を促すことができます。また、参加者が協力して訓練に取り組みながら、組織、従業員、顧客に直接的な影響を与える可能性がある具体的な問題を特定して対処できます。 

ソフォスの机上演習実施方法

ソフォスでは、特定のチームや部門向けに、机上演習の内容を調整して実施しています。たとえば、通常はセキュリティに関する軽微な問題から始め、参加者同士でどのように対応するかなど、アイデアを出し合うように促します。こうした取り組みを通じてわかったことを引用しながら、問題の重大性を強調します。

ソフォスは、サイバーセキュリティのシナリオのテーマを提供し、各組織が独自に机上演習を作成、実施できるようにしています。机上演習の実施にあたっては、以下の点も参考にしてください。

対象を特定する

対象者を決定してから、サイバーセキュリティのシナリオを作成します。例えば、サイバーセキュリティチームをテストする場合は、セキュリティに関する複雑な対応が求められるシナリオが理想的です。

一方で、IT チームや DevOps チームをテストする場合は、参加者がシナリオを理解し、時間と労力、そして注意を払う価値のある問題を選択します。

参加者を選ぶ

単一または複数のチーム (部門) を選びます。単一のチームの場合は、そのチームがサイバー攻撃にどのように対応するかを確認できます。一方、複数のチーム (部門) が参加する場合、異なるチーム間での協力を促せます。

参加者がシナリオに加わるタイミングを見極める

各チームや部門がシナリオに参加するタイミングを検討します。たとえば、個人識別情報 (PII) が漏洩したというシナリオでは、GDPR やその他のデータセキュリティ要件を遵守するために、法務部にも参加してもらうといった具合です。

セキュリティの模擬演習には、あらゆるチームや部門から少なくとも 1名参加してもらうのが理想的です。そうすることで、チームや部門間のコミュニケーションや協力を促進できます。

参加者の人数を決定する

シナリオを実施するときには、必ず参加者同士が関わり合い、共通の目標を達成するために協力するようにしてください。ソフォスが取り入れているシナリオでは、チームや部門のいくつかの役職、あるいは複数のチームや部門に所属しているメンバーが参加し、多くの場合、最大で25人が参加します。参加人数を決めるにあたっては、組織全体の規模や組織構成を考慮してください。

訓練の時間を管理する

机上演習を完了するのに十分な時間を参加者に与えてください。ソフォスは、長時間の机上演習セッションは避けるようにしています。数時間以上に及ぶセッションになると、参加者がスケジュールを調整し、参加するのは困難になります。

資料を準備する

PowerPointのプレゼンテーションなどの資料を使用してシナリオを伝えてください。ソフォスのチームは通常、机上演習用の PowerPoint プレゼンテーションを用意し、各スライドにイベントの進行と参加者に検討してもらう質問を記載しています。通常、このような PowerPoint プレゼンテーションのスライドは最大 20 枚にとどめています。

机上演習のストーリーを作成する

実際の攻撃を想定したストーリーを作成し、そのストーリーに沿って取り入れる情報を調整します。最近のニュースを取り入れると、参加者の関心を高めることができます。大規模なストーリーを作成する場合、ストーリーに関連するシステムやログに重要な情報である印を付けて、参加者が簡単に見つけて利用できるようにします。

参加者に適した内容にする

参加者のセキュリティの成熟度 (知識や経験レベル) に応じた机上演習を準備してください。たとえば、サイバーセキュリティのスキルや専門知識が豊富な参加者の場合は、ストーリーを細かく設定するとよいでしょう。参加者のスキルや専門知識があまりない場合には、一般的で概要レベルのシナリオが最適となるでしょう。

詳細なシナリオを作成する場合は、現実的な攻撃シナリオを反映していることを確認してください。たとえば、組織やネットワークの特定の部分を対象とした机上演習を行う場合には、その分野について詳しい人から情報を収集するようにします。こうすることで、参加者が共感できるシナリオを作り上げることができます。

参加者の意見を聞く

参加者に、机上演習に取り入れられそうなアイデアがないか聞いてみるのも一案です。日々の業務で直面しているセキュリティ上の弱点について、考えを共有してくれる可能性があります。このような弱点を取り入れたシナリオを作成すると、参加者が課題を解決するヒントになります。

シナリオを詳細に計画する

シミュレーションした攻撃を展開する方法をフロー図に落とし込みます。こうすることで、机上演習のストーリーで欠けている要素に気付くことができます。

また、ストーリーで扱っているテーマについて詳しい社員に意見をもらうのもいいでしょう。シナリオについて悩んでいる点を解決したり、よりリアルなストーリーになるよう助けてくれるかもしれません。

議論のきっかけとなる質問を作成する

ストーリーを作成するときに湧いてくる質問や疑問を書き留めておきましょう。これらの質問は、シナリオの参加者同士の議論を促進するために利用できます。

ストーリーを見直す

参加者に伝える前に、シナリオを何度も見直して評価してください。参加者がストーリーを最後まで実行するのにかかる時間を判断することは難しい場合があります。どれぐらいの時間が必要か不明な場合は、時間が足りなくなった場合のことを想定しておきましょう。プレゼンテーションで説明しているシナリオの時間が、参加者が実施できる制限時間いっぱいになったり超えたりする場合は、必要に応じて修正してください。

雰囲気作りをする

あらゆる人が訓練に参加しやすいような雰囲気作りを心がけましょう。机上演習の目的は、すべての参加者に発言を促し、組織のセキュリティ体制を改善する機会とすることです。活発な意見交換や協力を促すことで、机上演習がすべての人にとって有意義な時間となります。

机上演習の進行を管理する

訓練の進行担当者は、参加したい気持ちは抑えて、進行役に徹しましょう。進行管理の担当者は、参加者にシナリオを提供して、参加者がシナリオを進めるための支援に専念してください。また、ストーリーのさまざまなトピックについて参加者が話し合う時間を設けたり、議論する質問や重要な情報を共有したりすることもできます。

問題を追跡する

机上演習中に起こったことについて、必ず誰かがメモを取るようにしてください。ストーリーの効果を妨げる可能性のある問題について有用な情報を得ることができます。

経過時間をチェックする

タイマーをセットし、時間を厳格に管理してください。参加者が途中で立ち止まることなく、ストーリーの進行に合わせて訓練を続けるように促します。

結果を確認する

机上演習の実施後は、訓練の結果を振り返り、日常業務にどのように活かせるかを検討します。例えば、コンプライアンス要件に基づいてテストを完了した場合、監査人が必要とする情報が含まれる PDF を作成できます。

また、机上演習の学びを共有する機会を設けて、同じ訓練を再び行うこともできます。そうすることで、最初の訓練後の改善によって、問題を解決できるようになったかどうかを確認できます。

机上演習の例

過去にソフォスで作成、実施した机上演習の例を紹介します。

詳細はこちら

机上演習の資料

米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) は、企業が独自に机上演習を実施するために役立つ資料を提供しています。100種類以上の CISA Tabletop Exercises (CTEPs) があり、シナリオもバラエティに富んでいます。一例を以下に示します。

  • サイバーセキュリティ: ランサムウェア、インサイダーの脅威、フィッシング、産業制御システム (ICS) の侵害、その他のサイバーセキュリティに関連するシナリオ。
  • 物理的セキュリティ: 銃乱射、車両突入、即席爆発装置 (IED)、無人航空機システム (UAS)、その他の物理的セキュリティに関連するシナリオ。
  • サイバーセキュリティと物理的セキュリティの複合的シナリオ: サイバー攻撃による物理的な影響や、物理的攻撃がサイバー環境に与える影響など。

これらのシナリオに加えて、CISA は構築済みのテンプレートを提供しています。これらのテンプレートを使用して独自の机上演習を作成することもできます。

 

著者:Luke Groves | シニアマネージャー | サイバーセキュリティ、レッドチーム

開催日: 2023 年 9 月