全3307文字
PR

 サイバー攻撃が高度化・巧妙化の一途をたどっている。情報処理推進機構(IPA)がまとめた「情報セキュリティ10大脅威 2019」によれば、10大脅威に「ランクイン」はしていないもののAI(人工知能)を使った新たなサイバー攻撃手法が出現し、防御側の検知を回避する攻撃も出てきたという。

 サイバー攻撃を防ぎ切るのは不可能に近い。対策を施しても何らかの被害が生じると考え、「被害を最小限に抑えるための対策」が企業に求められている。

 そこで重要になるのが「サイバー演習」である。実際にサイバー攻撃を受けた場面を想定し、インシデント(事故)対応やセキュリティー対策の司令塔となるCSIRT(コンピューター・セキュリティー・インシデント・レスポンス・チーム)を中心に事故対応を模擬的に進める。演習後は自分たちの行動を振り返り、足りなかったルールや対処法を洗い出し、改善につなげる。地震や火災といった災害を想定した避難訓練と同じだ。

全国の金融機関がサイバー演習

 サイバー演習に積極的な業界の1つが金融だ。マルウエア感染によるインターネットバンキングの不正送金やDDoS攻撃などの脅威に業界を挙げて対抗するため、5年前の2014年8月に日本の金融機関の間でサイバーセキュリティー関連の情報を共有・分析する役割を担う一般社団法人の金融ISACが設立された。

 金融ISACは米国の同等機関とも連携し、脅威の低減に取り組んできた。そうした活発な取り組みが功を奏し、前述の「情報セキュリティ10大脅威 2019」では「インターネットバンキングの不正利用」が前回1位から今回は7位に後退。「インターネットバンキングを狙った攻撃は継続して確認されているが、被害件数や被害額は年々減少傾向となっている」(IPA)という。

情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2019」
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2019」
(出所:情報処理推進機構)
[画像のクリックで拡大表示]

 とはいえ、ビジネスメール詐欺など新たな脅威は次々に現れる。対抗するため金融ISACは2019年8月19日、金融機関に特化したサイバー演習「Fire 2019」を開いた。

 北は北海道から南は沖縄県まで、金融ISACの会員企業である都市銀行や地方銀行、証券会社など約270社のセキュリティー担当者が参加した。金融ISACはサイバー演習を2015年から開いており、今回が5回目である。

 演習で取り組む攻撃シナリオは6つある。具体的には(1)標的型攻撃を受ける、(2)標的型攻撃を受けて顧客情報が漏洩する、(3)Webサイトで使うソフトの脆弱性が公開される、(4)子会社がWebサイトを攻撃される、(4)クラウドサービスが攻撃される、(6)公開するAPI(アプリケーション・プログラミング・インターフェース)サービスが攻撃される――である。

 Fire 2019を企画・運営する金融ISACの共同演習ワーキンググループは開催半年前からシナリオなどの準備を進めた。今回のシナリオは「標的型攻撃」と「クラウドを含めたWebサービス」に大別できる。

 金融ISACの谷合通宏理事長は「主流となっているサイバー攻撃を分析し、その中から金融機関に多大な被害をもたらす攻撃を厳選してシナリオを作った」と説明する。事実、企業にとって標的型攻撃の脅威は高いままで、IPAは標的型攻撃を2012年から2018年まで「情報セキュリティ10大脅威」の第1位あるいは第2位にランクインさせている。

 演習に参加する企業は6つのシナリオから事前に1つ選び、実際に対策を講じたうえで演習に臨む。演習する部屋はシナリオごとに分かれ、2~8人で1チームを作る。基本的に1つの企業で1チームを構成するが、複数の企業で1つのチームを作る場合もある。