巧妙化の一途をたどるサイバー攻撃。どのような対策を施したとしても完全に防ぐことは難しい。セキュリティー事故(セキュリティーインシデント)に対処するCSIRT▼は、セキュリティーインシデントの発生を前提に備える必要がある。そのためには日ごろの訓練が欠かせない。
そこで日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会、NCA▼)は2021年12月、内閣サイバーセキュリティセンター(NISC▼)と合同でオンラインによるサイバー演習「分野横断的演習」を開催した(図1)。同演習は実際にサイバー攻撃を受けた場面を想定し、CSIRTのメンバーが中心に対応する。演習後には対応手順や課題を検証する。
NCAとNISCが毎年開催
NCAは、CSIRT活動を基にしたサイバーセキュリティー対策の普及促進や、CSIRT間の情報交換などを目的とした業界団体。
NCAとNISCは毎年1回、合同演習を開催している。2021年で7回目になる。NISCは単体でもサイバー演習を開催しているが、それに参加できるのは通信事業者や金融機関、鉄道会社といった重要インフラ事業者や重要インフラ所管省庁などの関係者に限られる。
そこでNCAは、一般企業に対してもNISCと同等レベルの演習を実施するため、NISCと連携して同様の演習をNCAの会員組織向けに開催している。それがこの分野横断的演習である。
今回の演習には、NCAの会員企業・団体の99社(582人)が参加した。これはNCA側の参加人数として過去最多になる。その理由としてNCAは、加盟企業が増えていることに加え、サイバー攻撃の脅威がより一般的になり、危機感を抱く企業が多くなったことを挙げている。
演習の流れは次の通り。まず事務局がオンライン会議ツールZoomとNCAのポータルサイトを使い、各チームの「PoC▼」に攻撃シナリオを伝える。企業・団体ごとに最大15人が1チームとなる。
PoCはチームメンバーにシナリオを伝え、チームメンバーがプレーヤーとなり攻撃シナリオに対応する。どう対応したのか、どのような内容を検討したのかを行動記録シートに記載し、演習後の振り返りで検証する。
今回の演習テーマは「日常のサイバー攻撃への対応」である。攻撃シナリオは「社員の端末が暴露型ランサムウエアに感染した」というものだ。
ランサムウエアはマルウエアの一種。コンピューター内の情報を暗号化して「人質」にする。そして復号してほしければ身代金を支払うよう要求する。
最近ではランサムウエアで情報を人質に取るだけでなく、身代金を支払わなければデータをインターネット上のWebサイトで暴露すると脅す攻撃も多い。データを暴露するWebサイトはリークサイトなどと呼ばれる。
今回の攻撃シナリオは、ランサムウエアによって業務が遂行できなくなり、その説明のため記者会見を開くかどうかの判断までしなければならないというものだ。CSIRTのメンバーにとっては対応が難しいシナリオといえる。NCAの運営委員を務める羽場 満氏は「過去の事例を考慮し、最悪の事態を想定した攻撃シナリオにした」と説明する。
