不正アクセスや情報漏洩などのセキュリティーインシデント(事故)が発生した場合、どう動くべきか。多くの組織にとって大きな課題だ。事故対応を担うためにCSIRT(Computer Security Incident Response Team、サイバーセキュリティー事故に対処するための組織)のようなチームを内部に作っている組織もあるかもしれない。ただし、セキュリティー事故はそう頻繁に起こるわけではなく、意図的に起こすわけにもいかない。訓練できる機会は限られている。
最近、トレンドマイクロが「インシデント対応ボードゲーム」を無償提供していることを知った。カードを使ったボードゲーム形式で、架空のセキュリティー事故を体感しつつ、対応を検討するというものだ。ゲームの目的は、正解がない状況で議論して、チームで対応方法を探る訓練を積むことにある。「スタンダード版」のほか、「大学版」「金融版」「医療版」と全部で4種類ある。
2020年10月上旬、実際にゲームの様子を取材する機会があった。10人の大学関係者が参加し、5人ずつのグループに分かれて、ボードゲームの「大学版」を使った演習をした。筆者はこのうち1つのグループの様子を取材した。
Zoom会議上で全国から参加
ボードゲームはZoomのオンライン会議で行われた。取材したグループには、東京や山梨、愛知、福岡、沖縄の大学の情報セキュリティー担当者5人がおり、メンバーとしてリモートで参加した。加えて、トレンドマイクロの担当者がファシリテーター役の「ゲームマスター」としてゲームの進行を担った。筆者は自宅のパソコンからZoom上で様子を見守った。
ゲームは同じグループで2回繰り返し実施した。ルールに慣れた2回目のほうが議論しやすくなる。2回目の最初に、発生したインシデントに関係する記述がある「イベントカード」3枚が示された。
具体的には「週1回の予約検索で、教職員の端末からマルウエアが検出された」「メディアから、自組織のセキュリティー事故に関する取材の申し入れがあった」「教職員から『共同研究のデータが外部サイト上にアップロードされている』と報告があった」という3枚である。これらのイベントカードは大学の事情を反映したものだ。研究に使われるネットワークは事務ネットワークとは別に構築され、学生や共同研究者の便宜のためにセキュリティーレベルが低めになっている。今回はその点が突かれたようだ。
これを基に、グループでインシデントの内容を推察し、取るべきアクションを検討する。5人のメンバーは、「CISO(最高情報セキュリティー責任者)」「システム責任者」「事務部門責任者」「システム担当者」などの役割に分かれて、それぞれの役割をロールプレイ形式で演じる。
