新社長就任の翌日にランサム被害 事例で学ぶインシデント対応の成功パターン：ITmedia Security Week 2023冬 イベントレポート（2/2 ページ）

[宮田健，ITmedia]

ステークホルダーを取りまとめるためには何をすればいい？

　青山氏によると、ノルスク・ハイドロの危機広報部隊は、あらゆる場面を想定したシナリオ訓練の実施と他部門の巻き込みがインシデント対応において非常に有効だったという。

　だが、社内にはさまざまなステークホルダーが存在する。広報部門や法務部門、事業部門、そして現場、経営層はそれぞれにミッションを持ち、そして、そのほとんどの部門がセキュリティを完璧にすることがミッションではない。そのためお互いの“価値観”を理解しなければコミュニケーションを取るのは困難だ。それをせずにセキュリティ部門が「サイバー攻撃の可能性がある」と言ったところで、現場では何をすればいいのか分からない。

社内にはさまざまなステークホルダーが存在する（出典：青山氏の講演資料）

　サイバー攻撃は時間との戦いであり、連絡が遅れることは攻撃の特定が遅れることにつながる。だが早期に発見しても、各部門でコミュニケーションが取れなければ適切な対応にはつながらない。青山氏は「ツールの導入以外にも、各ステークホルダーがどのような“言語”を話すのか。どういった“価値観”を基に行動しているのかを理解できる人材を育てることが重要だ」と述べる。

　その“共通言語”の理解を深めるために青山氏が推奨するのが机上演習だ。机上演習とは特定のインシデントが起きた事態を想定し、緊急時の役割などを考え、どのように対応できるかを議論するものだ。ステークホルダー同士で役割を確認しながら議論することで、落としどころを探ったり、現状の復旧プロセスにあるギャップを見つけたりなど緊急時の準備ができる。

内閣サイバーセキュリティセンター（NISC）における分野横断演習の事例。さまざまな想定の上でシナリオが提示され、それにどう対応し、行動するかをシミュレーションする（出典：青山氏の講演資料）

　机上演習においては演習シナリオが非常に重要になる。演習シナリオには2種類あり、「脅威情報に基づくシナリオ」と「事業被害に基づくシナリオ」がある。

　脅威情報に基づくシナリオは、いわゆるランサムウェア対策演習などがこれに当たる。机上演習を初めて実施する場合、流行の攻撃にどこまで対応できるかを把握するためにも、一度利用された攻撃手法を基に自社の対応能力を測るといいだろう。

　事業被害に基づくシナリオとは、経営目標や事業戦略でハイライトされている重要プロセスに対する攻撃シナリオで、ある程度机上演習を繰り返した組織にお薦めだ。自社が持つユニークな部分を攻撃されたときの対応が予測できる。このシナリオ作成については、IPAが制御システム向けの事例集を公開しているので、これらも参考になる。

2種類の演習シナリオを使い分ける（出典：青山氏の講演資料）

　ランサムウェア対応に関する演習シナリオの具体例を紹介しよう。

　ランサムウェアの演習は「政府機関からの注意喚起」「データの暗号化・システム停止」「身代金要求」「データの窃盗」「外部メディアからの問い合わせ」という5つのシーンに分けて行われる。これらの状況ごとに実例に即した時間間隔を付与し、限られた時間内にどのような対応ができるかを話し合う。

　「誰が意志決定し、どう対応するかを机上演習で議論できる。特にランサムウェアでは、停止している状態が対外的にも分かりやすく、外部メディアもその状況が見える。そのような中でも、誰が、どういう情報を基に発信するかを確認するのが机上演習だ」（青山氏）

ランサムウェア対応に関する演習シナリオのイメージ（出典：青山氏の講演資料）

机上演習でよくある誤解

　青山氏によると、机上演習では「演習で欠点が露呈したら恥ずかしい」という誤解を持たれやすい。しかし、演習とはそもそも、正にその間違いや欠点を見つけるのが目的であるため、それを恥じる必要は全くない。

　「“机上演習で間違いたくない”という意識がもしあるなら、それは組織文化にセキュリティがうまく根付いていない可能性がある。こうした組織は失敗を責めるのではなく、課題としてアクションにつなげる文化を作る必要がある。むしろ演習で欠点が見つからない場合、シナリオが甘かったと考えた方がいい」（青山氏）

　文化を作るにはまず信頼できる仲間やチームで机上演習をスモールスタートで進めるといいだろう。取り組みが成功すれば、これを徐々に拡大していく。

　この他、演習シナリオの作成やファシリテーションはプロが実施しなければならないというのもよくある誤解だ。これについてもまずは直近の事例に関する記事やレポートを持ち寄り、それを基にしたブレインストーミングやインシデント対応マニュアルの読み合わせだけでも十分だという。

　青山氏は最後に「脅威を意識した対策を既に導入していても、不正アクセスなど“点”での対策ではなく、事業被害に至るストーリー全体への対応を考える必要がある。インシデントが起きるかどうかの議論ではなく、起きたとしても事業を継続できるかどうかを議論すべきだ」と述べて、机上演習の重要性を強調した。

机上演習でよくある誤解（出典：青山氏の講演資料）

　IPAでは青山氏が所属する「産業サイバーセキュリティセンター」（ICSCoE）でのさまざまなプログラムを通じて責任者向けや実務者向けのプログラムを提供し、人材育成を続けている。そのようなプログラムを活用しながら、まずは社内で机上演習を実施し、組織全体でレジリエンスを高める仕組みを検討することから始めてみてはいかがだろうか。