IT & Information security Journal
サイバー攻撃の高度化が進む昨今、防御力の強化はもとより、インシデントの発生を見据えた対応力の強化が、多くの企業で急務となっています。しかし、いざ演習や訓練を実施しようとしても、リソースやノウハウの不足から「何から手をつければよいか分からない」と足踏みしてしまう組織も少なくありません。
こうした問題を解消すべく活動しているのが、一般社団法人 日本シーサート協議会です。企業や組織の枠を超え、CSIRT間で連携し活動しています。会員同士が協力して課題を解決するための枠組みとしてワーキンググループを設置しており、インシデント対応演訓練WGもその1つです。
同WGの主な活動目的は、セキュリティインシデント対応の演習・訓練事例の共有や模擬演習を通じて、参加メンバーが自分たちの職場で演習・訓練を効率的かつ効果的に実施したり、そのための体制を整備するためのノウハウを共有したりすることにあります。同WGの主査・副主査の3人に、企業や組織が演習(訓練を含む)の実施にあたって感じている課題意識や、その解決のヒント、理想的な演習のあり方、WGへの参加で得られるものなどを聞きました。
一般社団法人 日本シーサート協議会 インシデント対応演習訓練ワーキンググループ
主査 櫻井 秀憲 氏(富士ソフト株式会社)
副主査 井出 雄介 氏(東京海上ディーアール株式会社)
副主査 三木 文夏 氏(NTT東日本株式会社)
( )内は勤務先
この記事のポイント
演習については、インシデント対応演習訓練WGの年次アンケートでも、準備時間や運営ノウハウ、予算の不足に関する課題感があがっており、まだ実施できていないとする参加者も少なくないのが現状
新たに演習に取り組みたい組織は、まず自社の状況に適したテーマで、少人数や短時間で行えるものから実施することがおすすめ
理想の演習は「目的が具体的になっている」もの。目的から逆算して手順や参加者を決めて実施したうえで、機会があればまた参加したいと参加者が思えることが重要
インシデント対応演習訓練WGでは、社内やインターネットだけでは学ぶことが難しい、演習に関する「よくある失敗例」などのノウハウが集まっており、インシデント対応に精通した参加者からアドバイスももらえる
皆さんはそれぞれの所属企業が一般社団法人 日本シーサート協議会(以下、NCA)に加盟し、活動に参加されています。ご所属先やNCA、ワーキンググループ(以下、WG)でのこれまでの活動について伺えますか。
櫻井氏:
私は富士ソフト株式会社に所属していて、自社のCSIRT(Computer Security Incident Response Team)の運用、顧客へのセキュリティソリューションのご提案、運用支援などをしています。NCAとは、CSIRTの運用に関わり始めたときに出会いました。現在はインシデント対応演習訓練WGの3代目の主査として活動しています。
井出氏:
私はセキュリティコンサルタントという立場で、東京海上ディーアール株式会社に所属しています。所属していた前職で2014年にセキュリティ担当となり、社内のCSIRT設立に携わりました。2019年から現職で、顧客のインシデント対応のほか、平時の演習・訓練・啓発などを担当しています。NCAには2016年から参加していて、当WGの2代目の主査も務めました。
三木氏:
私はNTT東日本株式会社のネットワーク事業本部のなかにあるセキュリティ部門に所属しています。前職は金融系の企業にいたのですが、セキュリティに興味がわき、転職して今の仕事に就きました。社外活動としては、2025年から当WGの副主査を務めているほか、ICT-ISAC、金融ISACといった業界のセキュリティ団体にも参加しています。
企業における演習の実施動向や課題について、皆さんはどう捉えていますか。
櫻井氏:
演習を行えていない組織が多いと思います。当WGでも参加チーム数は増えているものの、まだまだ実施できていないチームが多いですね。その理由をアンケートで聞いてみたところ、「準備時間がない」「ファシリテーション(運営)ができない」「訓練方法が分からない」「予算が確保できない」「参加者が集まらない」といった回答がありました。アンケートの回答数は毎年変わりますが、一定数の組織がこうした課題を持っていること自体は変わりません。
井出氏:
演習が実施しづらい理由として、コロナ禍があったことも影響していると思います。在宅勤務が多くなって演習のために人が集まれなくなり、コロナ禍の前に底上げできていた参加者の知識がリセットされてしまった感覚があります。
また、コロナ禍のあいだに人事異動があって、運用ノウハウのある人、知見のある人がいなくなったというケースも見られました。その結果、演習ができる組織と、したくてもできない組織に2極化してしまったようです。
櫻井氏:
在宅勤務やフリーアドレスを推進する企業が増え、演習もオンラインで実施できるようにしておこうとか、有事対応の準備の仕方も変わってきていますね。
三木氏:
いくつかのセキュリティインシデントが大きく報じられたこともあり、2020年以降にセキュリティの重要性が認識されはじめた、と個人的には感じています。取引先のセキュリティ体制が整っていなければ契約できないとする組織も増えています。
しかし、実際にインシデントが発生した際に、その取引先がしっかりと対応できるのかを確認することは非常に困難です。そうしたなか、各企業や官公庁は、平時からインシデント対応演習に取り組んでいるかどうかで、インシデントへの対応力を判断するようになってきているようです。
演習の実施を阻む「4つの壁」
先ほどのアンケートでは「ファシリテーション(運営)ができない」「訓練方法が分からない」という声があがっていました。新たに演習に取り組みたいがそうした難しさを感じている組織では、何から始めればよいのでしょうか。
井出氏:
インシデント対応演習と聞くと、全社を巻き込むような大規模の演習を想像してしまい、「運営できない」「方法が分からない」と感じてしまいがちです。検知から始まって、対策会議を開き、再発防止策を打ち出すといった、2~3か月かかるインシデント対応を半日に詰め込むような演習が想定されやすいのではないでしょうか。しかし、そうした大掛かりなシナリオの演習は、組織が相応の経験を積んでいないとできません。
他方で、たとえばCSIRTだけに参加者を限れば、30分もあればできる演習もあります。「現場からランサムウェア被害の疑いが報告されたときに、CSIRTとして1時間以内に何ができるかを、皆で洗い出してみましょう」といったテーマでディスカッションするだけでも十分な演習になります。チームで洗い出したリストを検討しながら、対応プロセスや役割分担を明確にすれば、実際のインシデント対応がスムーズになるでしょう。
このように、自社の状況に適したテーマで、少人数や短時間で行えるものから実施してみることがおすすめです。
櫻井氏:
NCAでは演習の練度を上げるためのコンテンツとして、「15分演習(状況付与と解答例、解説がセットになったもの)」をWG内で公開しています。これを使うと、たとえば「ある部門が生成AIを勝手に使用していると報告があった。CSIRTとしてどう対応すべきか」という状況が問題として提示されます。そうしたテーマについてチームで話し合い、その結果が解答例に沿うものかをチェックする、といった演習が簡単に実施できます。
ちなみに例示した「生成AIの無断使用」についての演習の解答例は、「本当に使用されているのかを事実確認する」「どういう情報を入力したのかを確認する」「入力情報が再学習に使用されない契約プランになっているのかを確認する」などです。
井出氏:
「15分演習」には、生成AI関連のテーマのほかにも「同業他社でインシデントが発生した時の対応」「インシデント発生時のプレスリリース」「再委託先での情報漏洩」など多様なコンテンツがあります。CSIRTの構成や役割は企業によって異なるため、1つの解にまとめることはせず、我々で考えうる初動を演習メニューとして網羅する形を取っています。
皆さんが考える「理想の演習」とは、どのようなものでしょうか。
井出氏:
理想は「目的が具体的になっている演習」です。演習を企画しようとすると、知らず知らずのうちに「あれもこれも」と目的を盛り込みがちになってしまいます。目的が増えると参加を求めなければならない人が増えます。時間も延び、自分の出番まで待っているだけという参加者も出てきてしまう。そうなれば参加者の満足度が下がってしまい、次につながりません。
目的は1つでも構わないので、「このケースについて課題を洗い出しましょう」「CSIRTの新任メンバーに役割を覚えてもらいましょう」「インシデント対応で、ビデオ会議ツールを活用できるかを検証しましょう」など、30~60分で検討プロセスや対応手順を確認できて、把握できた課題が参加者の腑に落ちるもの。そして、機会があればまた参加したいと思えて、次の演習につながるものが、理想の演習といえます。
さらに言えば、シナリオは参加者と目的に応じてある程度デフォルメした方がよいと思います。特定のリアルな被害状況を想定してきちんと対応できるかを演習するのは、あくまで1つのパターンであって、演習の目的としては適切な方法というわけではありません。もちろん荒唐無稽で起こり得ないシナリオは問題ですが、その時々の演習の目的を達成するためであれば、必ずしも精巧なシチュエーションを設定する必要はないでしょう。
櫻井氏:
目的を明確にするには、2部制にするのも1つの手です。たとえば第1部では情シス担当者が技術的な演習を行う。第2部では、その演習結果のサマリーを使い、広報や法務も加わって、一緒に演習を行うという2段構えにするんです。
こうすると、それぞれの演習の目的が絞れますし、第2部に参加して広報や法務の議論を聞いた情シスは「広報ではこういうところを気にしている、だから実際にはこんな情報を渡すことが必要なんだ」などと気づきを得ることができます。
井出氏:
そのほか演習のポイントとして、関係者への事前告知もしておくべきです。告知がないまま実施してしまうと、インシデント対応にあたる人たちに余計なストレスを感じさせてしまいます。事前に連絡してから実施した方が、結果も評価しやすいでしょう。
櫻井氏:
以前、顧客から「実際にインシデントがあった際にどう対応できるかが知りたい」という要望があり、関係者への事前連絡なしの演習をやったことがあります。アンケートでは「演習か本当のアラートかが分からなかった」といった声があがり、一部参加者の満足度も低く、関係者へのリカバリーを丁寧に行いました。
三木氏:
次の演習ができなくなってしまうのは、最大の失敗かもしれません。次回以降も円滑に開催できればこそ、「何が悪かったか」「どう改善すればいいか」を踏まえて、より実行的な演習が実施できるようになっていきます。
演習の成果については「事前準備が100%」です。参加者があらかじめ同じ目的を持って演習の席につけているかどうかで、成功・失敗はすでに決まっていると言っても過言ではありません。演習への参加意義を理解できておらず、反発心を持っているような参加者がいるようだと、なかなかよい結果にはなりません。その意味では、トップダウンで進めるか、現場に根回ししておくかなど、組織の風土や力学にあった巻き込み方を考えることも重要です。
井出氏:
そうした意味でも、やはり演習の目的を明確にしたうえで、それを達成するための手順や必要な参加者を逆算で決めていくのが重要なのだと思います。
演習の予算について、経営層の承認を得るためにはどのように働きかけるべきでしょうか。
井出氏:
昨今、省庁や各業界からセキュリティガイドラインが次々と発表されているおかげで、セキュリティインシデントの演習に興味を持っている経営層は多いと思います。どうしても一定数、「まったく興味がない」「必要ない」という経営層の方もいますが、実際にインシデントが発生してしまうのは、そうした企業が多い印象です。
セキュリティ担当者としては、日頃から経営層とコミュニケーションをとれるようにして、情報をインプットすることが大切です。
櫻井氏:
特に、インシデントを起こした企業のIRや特別損失額などについて伝えると刺さりますね。「これだけの機会損失になるのか」と。
演習の成果を経営層に示すための評価指標についてはどうお考えですか。
井出氏:
目的を絞った演習、たとえば先に紹介した「15分演習」であれば、解答が正しかったかどうかに加え、参加者の数、満足度なども評価指標になると思います。
櫻井氏:
技術面では、ログからインシデントを見極めるまでの時間を測ったり、そこからの復旧時間を割り出して評価したりする方法もあります。
三木氏:
演習で判明した問題点をどう改善したかを指標にすることもあります。しかし、これをやりすぎると対応フローの分岐が多くなりすぎたり、演習の目的がフローの粗探しになってしまったりすることがあるため、注意が必要です。細かい部分よりも、本質的な改善を目的とした演習を目指すことが大切です。
ここまでに紹介いただいたノウハウも踏まえて、インシデント対応演習訓練WGではどのような活動をしていますか。
井出氏:
勉強会や他組織との連携した演習、ワークショップの開催などを行っています。セキュリティレベルを向上させる主な要素には「教育」「訓練」「啓発」がありますが、当WGはその名のとおり「訓練」を対象としています。
会員同士で情報を開示して「自分たちの組織ならこの場合、こういう対応をする」という生の意見交換ができる場を設けることで、自組織の立ち位置を見つけてもらうというのも、当WGの重要な意義だと思っています。
三木氏:
特に、自社で実施した演習が上手くいかなかった場合、その状況をWGで共有すると、インシデント対応に精通した人たちから「目標設定ちゃんとしていた?」「この準備をしていた?」などとアドバイスがもらえ、乗り越えるきっかけが得られます。社内やインターネットだけでは、演習に関する「よくある失敗例」を学ぶことはなかなか難しいですが、当WGにはそうしたノウハウが集まっています。
櫻井氏:
どんな演習を行うのが最適かは、企業によってさまざまです。情報共有・相談するなかで自社にあった方法が見つけられることは、当WGに参加するメリットといえます。
井出氏:
冒頭で、コロナ禍前後での分断についてお話しした一方で、最近では、新たに演習に関心を持った若い人が参加してくれるようにもなっています。当WGでは、できる組織が上を目指しつつも、これから演習を始めたいという組織を迎え入れることにも注力しています。そのほか、どのように演習を進めるかを記したキットの作成・提供などもしています。
ただし、キットなどはあくまで手段です。当WGに参加する最も大きなメリットは、やはり、他の組織と生の情報を交換しながら、自組織の現在地や、インシデント対応のためになすべき取組みについて知ることができることだと思います。
最後に、今後の展望について、お聞かせください。
井出氏:
私の本業はコンサルタントですが、理想はWGに参加する企業が、コンサルタントに頼らずに演習ができる組織になることです。そのために、初めてインシデント対応の準備に携わる人にでも使いやすいキットなども充実させていきたいですね。海外の子会社を持つ企業からは英語版のキットを望まれているので、その作成にも取り組んでいこうと考えています。
また最近では、CSIRTが主導して社内の演習を行う際に、どのように議論をコントロールして着地まで持っていくか、といったファシリテーション(運用)の技術について取りまとめることを検討しています。
三木氏:
どこの会社がどんな攻撃を受けても最善の対応策がとれるようになるよう、貢献していきたいですね。個人としては、若手の立場でNCAや各WGの活動に参加しているなか、「今後頑張って欲しい」という立ち位置から、「頑張ったね」と言われる立場になれるよう、自分の価値を上げていきたいです。
櫻井氏:
当WGにはさまざまな知見を持ったメンバーが揃っています。多くの企業にインシデント対応のヒントを提供し、各組織のインシデント対応力を高めるお手伝いをしていきたいと思います。この記事を読んで、NCAや当WGに関心を持つ方がいれば、ぜひ参加いただけたらと思います。
(文:渡邊智則)
UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。
BCP/BCMの潮流とレジリエンス向上のポイント
CLOSEUP セキュリティ組織
この記事をシェアする
最新情報をフォローする