日本の中枢を守れ――政府のサイバー演習「CYDER」の現場：企業CSIRTの最前線（1/2 ページ）

標的型サイバー攻撃などの深刻な事態で求められるのは、被害抑止に向けた的確で速やかな対応だ。中央官庁や重要インフラ企業を対象に総務省が実施しているサイバー演習の現場を取材した。

[國谷武史，ITmedia]

サイバー攻撃への対応能力を高めろ

　日本の組織の機密情報を狙う標的型サイバー攻撃などの脅威が深刻な問題となり、2015年も日本年金機構に対する攻撃や情報搾取などの被害が多発している。特に日本の中枢を支える官公庁や重要インフラ企業ではこうした重大インシデントへの対応能力の向上が喫緊の課題となっている。

　総務省は官公庁や重要インフラ企業などを対象に、サイバー攻撃への対応能力の向上を目指す「実践的サイバー防御演習（通称CYDER）」を2013年度から実施している。毎回中央省庁や政府のサイバーセキュリティ戦略で指定された13の重要インフラ分野の企業、独立行政法人などから多数が参加し、省庁の組織ネットワークを疑似的に再現した環境で攻撃シナリオに即したインシデント対応を体験する。

CYDERの実施イメージ（総務省資料）

　サイバー攻撃による重大インシデントがいつ発生するのかは、攻撃者にしか分からない。狙われる側にはインシデントがいつ発生しても適切かつ速やかな対応をすることが求められるが、実際のインシデントを体験してからというわけにはいかない。演習では攻撃の対応に疑似体験を通じて慣れることで、実際の有事で的確に対応できるようにすることが目的だ。

　なお、CYDERは総務省の「サイバー攻撃複合防御モデル・実践演習の実証実験」の1つとして実施されている。この実証実験ではサイバー攻撃の解析分野を日立製作所、防御モデルの検討分野をNTTコミュニケーションズ、演習分野をNECが担当し、各分野での成果や知見を相互に共有、反映していくことで、サイバー攻撃への防御力の向上を目指す。

　2015年度のCYDERは各回1日半の日程で、10月26日から12月3日までの間に東京と石川で6回実施され、合計200人以上が参加を予定している。

ITと危機管理の共同作業

　CYDERの参加者は、IT部門のLAN管理者を中心にセキュリティ担当者や組織の危機管理担当者など幅広い。3〜4人1チームを基本として、各メンバーにはチームリーダー、解析担当者、レポート作成者などの役割が与えられる。インシデント対応では状況を把握するだけでなく、各種作業や対応方針などについて状況に応じた意思決定が必要になることから、現場から意思決定者までの「エスカレーション」と呼ばれるフローをチーム内の共同作業を通じて経験することが狙いだ。

　「インシデントの予兆を最初に感じ取るのはLANの管理者といった現場の方々が多く、現場の担当者と管理者がコミュニケーションを取りながら、エスカレーションを通じてインシデントへの対応をスムーズにできるようにする必要があります」（総務省情報流通振興課情報セキュリティ対策室の道方孝志課長補佐）

　1日半におよぶ演習は、初日の午前中に講義を通じてインシデント事例や対策、「インシデントハンドリング」と呼ばれるインシデント対応プロセスでの各種作業や判断における心得、実習環境やツールに関する説明が行われ、初日午後に実習、2日目午前にグループワークとスキルチェックテスト、アンケートという流れで実施される。インシデント対応を体験する場が初日午後の実習だ。

2日間にわたるCYDERの主な内容（NEC資料）

　実習を担当するNECによると、2015年度のCYDERでは日本年金機構での事案をベースにカリキュラムが組まれている。実習では12のマイルストーンが設定（うち1つはチュートリアル）され、各チームがそれぞれのマイルストーンをクリアしながらインシデント対応プロセスを体験する。

　各マイルストーンにはさまざまなシチュエーションや課題が設定（事前通知などは一切なし）されており、チーム内でツールなどを利用した解析作業や状況の把握、対応方針の検討や意思決定、アウトプットまで行う。各メンバーが自身の役割をこなし、メンバー同士で協力しながらチームとしての答えを導き出していく。各マイルストーンにおけるアウトプットの形もレポートや設問への解答などさまざまだ。

11月下旬に都内で実施されたCYDERの実習会場の様子。各回10チームほどがインシデントの対応を体験する

　アウトプットに対してチューターが添削やアドバイスを行い、1つのマイルストーンをクリアしたと認めると、チームは次のマイルストーンにチャレンジする。実際のサイバー攻撃でマルウェアがどのような動きをするのか、その動きを把握するためにログなどの手掛かりをツールでどのように分析していくのか、把握した状況からどのような対応をなすべきかといった、インシデント対応の基本的な流れが肌身で学べることがポイントになる。

　演習会場ではチームごとのマイルストーンの到達状況や、マイルストーンをクリアするのに要した時間が一覧で表示され、全体の状況も分かるようになっている。実習は4時間ほどの長丁場だが、マイルストーンのクリアタイムを競うものではなく、あくまでインシデント対応の体験することが目的である。