1ランク上の企業セキュリティを目指そう！〜インシデント対応の予行演習「サイバー演習」とは？

10年以上前、サイバー演習といえば、JPCERT/CCやNISC、もしくはAPCERTやFIRSTのような国際的な機関が主催する、インシデント対応訓練を指すことが多かった。訓練に参加するのは、各国のCERT/CSIRT機関のスタッフや通信事業者のセキュリティ担当者（企業内CSIRT）たちだ。

国や地域をまたぐ攻撃やインシデントに対して、各国機関や民間企業の情報共有や連携プレーを円滑に行えるように、事前にプロセスの予行演習や訓練を行う。

一方で、会社のメールアドレスで、フィッシング訓練メールを受け取ったことがある人も多いだろう。これもサイバー演習と呼ばれることがある。実際のウイルス被害や詐欺メールを受けたらどうすればいいか。ルールを決めておくだけでなく、訓練として実施するために行われるものだ。

サイバー演習と一言で表現しても、現在はさまざまな演習形態がある。まず、どのようなものがあるのか、主だった演習を目的別に整理してみよう。

セキュリティ活動におけるコーディネーションとは、他社、外部機関、管轄官庁との連携処理のことだ。当局へのしかるべき通報や消費者やメディアへの広報・情報公開が含まれることもある。一般に、通信事業者や交通機関、エネルギー関係といった重要インフラ事業者、外郭団体を含む政府機関は、サイバー攻撃を受けた際、すみやかに監督官庁やNISCに通報する義務がある。情報漏洩についても個人情報保護法で同委員会への報告や、消費者への説明が求められることがある。

平時にこれらの手順を実施する訓練がある。国際連携においては、新興国などのセキュリティレベルを高める教育的側面も重要だ。

対外コーディネーションには、一般企業・組織レベルが行うものと、公的セキュリティ対応機関が行うものでは違いがある。IPAやJPCERT/CCは、国内においてサイバー攻撃の通報や報告の窓口となっている。これらの組織は、個人や企業からサイバー攻撃の相談を受けている。企業からは、フィッシングサイトや攻撃サイトへの対応が相談されることがある。

フィッシングサイトや攻撃元を調べると、一般のISPのホスティングやSaaSサービスを利用して立ち上げられた一時的なサーバーであることが多い。ISPは顧客からの依頼に応じてサーバーを提供しているだけだが、悪人であろうと正規に契約されたサーバーを勝手に止めることはできない。海外のISPの場合、そもそも連絡方法も明確ではないこともある。

余談だが、一部には当局からの要求を受け付けないことを売りにするISPや通信事業者も存在する。攻撃者にとって都合がよいサーバーをホスティングできるが、不当な捜査や独裁国家による権利侵害に対する抑止にもなっている。

JPCERT/CC（National CERT組織）は、各国のカウンターパート組織とつながっており、各国のISPや通信事業者とのコンタクトポイントを持っている。ISPは、被害を受けている企業や個人からのサーバーの停止要求を、簡単に受けることはできない。虚偽通報の可能性、契約の守秘義務、通信の保護義務があるからだ。しかし、各国のNational CERTからの要請には対応（実際にサーバーを停止するかどうかは、相手国の主権にかかわるので強制はできない）してくれる。

このような機関・組織が実施するサイバー演習では、海外ISPや関連省庁との連携、国際的なサイバー犯罪捜査における各国当局との情報共有や連絡体制の確認が行われる。

一般企業においては、インシデント発生時に警察への届け出、業界ISACやコミュニティへの情報提供の手順、対外的な説明（文書作成や連絡・公表）の手順を確認・検証することが演習の主な目的となる。

サイバー攻撃を受けた場合、それがランサムウェアなのかウイルス感染なのか情報漏洩なのかDDoS攻撃なのか。その状況に応じた対応手順を決めておく必要がある。あるいは、単なるシステム障害や一時的なアクセス集中などにも対応手順やルールは必要だ。

社内に企業内CSIRTなどインシデント対応を専門とする部署や人材がいない場合、ウイルス感染などの通報を受けたセキュリティ担当者がシステムの復旧や社内外の関連部署への連絡・調整を行うことになる。非常に負荷が重く、手順が一つ違うだけでその後の復旧が大きく変わる可能性もある。

通常は、どの部署、役職に報告するかのレポートラインを決めておき、それぞれの部署に対応を依頼することになる。システムの復旧作業は情報システム部が担当すべきだろう。外部への公表は広報部、役員はステークホルダーへの情報共有、管轄官庁への報告などを行う。それ以外に、セキュリティベンダーへの連絡と対応依頼、必要なら新たなインシデント対応業務、システム復旧作業の発注なども発生する。

実際のサイバー攻撃などでも慌てず、事前に取り決めた手順を実行できるような演習を行っておくことは重要だ。

現実のサイバー攻撃は、セキュリティ担当者やCSIRTスタッフが受けるわけではない。通常は一般の従業員やスタッフが被害に遭い、担当者に報告があがってくる形になる。ここでの対応も手順や取り決めは重要である。

たとえば、よく言われる「ケーブルを抜く」「電源を落とす」という対応。これは個別ケースごとに判断が難しいので一概にケーブルを抜くことが正解とは限らない。マルウェアによってはメモリ上で動作してファイルを残さないものも存在する。電源を落とすことで証拠を消すことになりかねない。ここではその対応の是非を議論はしないが、すくなくとも現場の判断で余計な操作はしない、といった取り決めは必要かもしれない。

次に重要なのは、正しい担当者（上司）への報告となる。PCやデバイスの紛失なども同様だ。早期発見、早期対応によって事後の被害を最小限に抑えることができる。

一般従業員向けのサイバー演習は、インシデント発生時に正しいトリアージ（対応優先順位付け）を可能にする手順を考える。防災訓練と同じで、頭で理解していても実際に消火器を見つけることができるとは限らない。サイバー演習によって、担当者や上司に報告する手順を実施しておくことに意義がある。

予防的なサイバー演習もある。よく行われるのは詐欺メールやフィッシングメールへの耐性をつけさせるためのフィッシングメール訓練だ。会社が用意したフィッシングメールを従業員に配布し、中身のリンクをクリックすると「これは訓練です。実際のフィッシングメールに注意しましょう」というページにジャンプする。従業員はここで詐欺メール、フィッシングメールに騙されたことに気づくというものだ。

文面などは現実のフィッシングメールや詐欺メールを参考に作られる。不注意でひっかかるという経験から、サイバー攻撃リスクを意識してもらうための演習だ。実際の演習方法は、専門家の指導のもとに行う必要がある。訓練メールは、リアル感をだすため実在の名前や会社名を利用することもあるが、それがトラブルを引き起こした事例も存在する。

また、訓練メールは開封率を下げることが目的でもゴールでもない。目的はあくまで注意喚起、リスクのリマインドにある。訓練メールの開封率とその組織や担当者のセキュリティレベルは無関係である。部署や役職によっては、不明な相手のメールもチェックしなければならないこともある。訓練メールを繰り返せば意識が高まり安全になるというものでもない。

他のサイバー演習は、繰り返しが実際の対応能力を高めるが、それとは性質が異なるものという認識が必要だ。

ペネトレーションテストとは、外部の専門家に依頼し、実際に業務システムなどを外部から調査してもらい脆弱性やセキュリティホールを発見してもらうことをいう。もちろん、発見された脆弱性に対処することが最終目的である。

ペネトレーションテストでは、調査の中で、実際にサイバー攻撃をしかけてもらうことがある。攻撃者と同じ視点で、侵入を企て、それが成功したら脆弱性があるということになる。このような攻撃は、十分に計画され管理された状況で行う必要がある。海外では、依頼を受けた侵入テストなのに、担当したセキュリティエンジニアが逮捕されるという事件も起きている。

ペネトレーションテストによる攻撃テストは、通常テストされる会社組織に周知された状態で行われる（そうでないテストも存在する）。つまり、ペネトレーションテストは、サイバー演習のひとつと考えることができる。

ちなみに、このような演習の場合、攻撃側をレッドチーム、防御側をブルーチームと呼ぶ。レッドチームは専門のセキュリティベンダーが担当することが多い。ブルーチームはCSIRTスタッフやSOCメンバーなどが担当する。大企業などでセキュリティプロフェッショナルがいるところでは、社内の人員でレッドチーム、ブルーチームを構成してサイバー演習を行うこともある。

攻防に分かれて模擬演習を行うことで、実際の脆弱性やシステムの弱点を明らかにするだけでなく、防御側の課題や対策の見直しにもつながり、セキュリティ体制の強化につなげることができる。

実際の環境に近い形の演習ほど効果が期待できるが、稼働中の実システムでの演習はリスクも大きいしコストもかかる。一般的にサイバー演習の実施はハードルが高い。組織ぐるみ、コミュニティぐるみで、あるいは国や行政レベルでの取り組みが必要な場合もある。

もう少し手軽に行えるサイバー演習として、CTF（Capture the Flag：旗とりゲーム）を挙げることができる。CTFは、攻撃用のクローズドな環境を用意し、チームごとにシステム攻略を競う競技だ。各チームは用意された攻撃対象のサーバーやシステムに対して、偵察や調査を行い、内部に侵入する。そして隠されたファイル（旗）を探して、その時間と数を競う。参加者は、システムの脆弱性をさぐったり、暗号や難読化されたファイルの解読をするなど、さまざまなハッキング方法を駆使する。

攻撃用のサーバーだけでなく、特定の設備や都市などを再現したシミュレーション環境で行うCTFも存在する。発電所のシステム、鉄道会社のシステム、あるいは自治体の行政府、交通機関、空港、発電所など街をサーバーやエミュレーターを使って丸ごと再現する。

電力会社のシステムに侵入して停電を起こさせる、空港システムをダウンさせて発見や管制を麻痺させる、といったことを競うCTFだ。

ボードゲーム、カードゲーム形式のサイバー演習もある。カードを引くと「他社にマルウェア感染が発覚した」「自社のサーバーがダウンした」といった事象が与えられる。これに対して、手持ちのカードでどのような施策をとるかを考える。人員や予算、ソリューション、各種の行動などがカード化されている。「当局に通報する」「自社システムの点検をする」「新しいシステムを導入する」といった具合だ。行動カードには実施条件（予算、必要なツールや人材など）が記載されている。

ボードゲーム形式のサイバー演習では、ゲームのスーパーバイザー（人やプログラム）が存在する。スーパーバイザーは、与えられた事象への対応によって次の事象カードをプレーヤーに提示していく。予算がなくなったり、システム侵入のカードをもらったらゲーム終了となる。