事前シミュレーションで脅威に対処 – サイバー訓練の概要と進め方

この記事は約8分で読めます。

「サイバー訓練」はITセキュリティに関する業務の一つとして、日本の行政をはじめ、金融などの一般企業で実施されています。
この記事ではサイバー訓練の概要や、国内の実施状況、実施の流れを紹介します。自社のセキュリティ対応を強化するには、ひとまずサイバー訓練という手段もあることを押さえておきましょう。

また、マルウェアEmotetの日本での隆盛などにより、サイバー訓練の一つである標的型攻撃メール訓練の実施が急務となっています。

もちろん、標的型攻撃メール訓練ツールの導入も有効ですが、まずはそもそも標的型攻撃メールがどんなもので、どんな特徴、事例があるのかを知っておくことも必須です。

そこで、標的型攻撃メールについての知識をぎゅっと詰め込んだ資料を無料で配布しております。こちらからダウンロードできますので、ぜひご活用ください。

サイバー訓練とは

サイバー訓練とは、いざサイバー攻撃を受けた場合に対処できるように、擬似的なインシデントの対応シミュレーションを行うものです。いわば「防災」ならぬ「災害訓練」です。サイバー訓練は「サイバー演習」「サイバーレジリエンス演習」といった呼び方をすることもあります。

政府とIPA(IT推進の政府系組織)が策定した『サイバーセキュリティ経営ガイドライン』において、経営者が主導すべきITセキュリティ施策に「インシデント発生に備えた体制構築」があげられています。そのなかの必要な指示に「インシデント発生時の緊急対応体制の整備」があり、「インシデント発生時の対応について、適宜実践的な演習を実施させる」ことが求められています。

また、近年サイバー攻撃の手法の高度化が進み、完全な防御が難しくなっています。しかも攻撃の目的が、昔は「サイト改ざん」など正常な利用妨害が多かったのに対し、昨今の「フィッシング」による個人情報の窃取、最近では「ランサムウェア」など組織的犯行による被害の大規模化・深刻化が進行しています。今や企業は脅威に対する防御・抑止措置だけでなく、事案発生を予見した危機対応体制を備えておくのが望ましいのです。

サイバー訓練の実施状況

現在、サイバー訓練の事例に、政府系機関が主催するものが知られています。金融機関の監督機関の金融庁や、国や地方公共団体、広く民間組織までを提供対象とするNICT主催のものがあります。
それぞれについて、どのような形式で行われるか参考にご覧ください。

金融庁主催のサイバーセキュリティ演習

金融業界では顧客の個人情報や資産情報を預かるため、長年情報セキュリティ管理に力を入れています。金融庁では金融業界全体のサイバーセキュリティ対策の向上のため、毎年「金融業界横断的なサイバーセキュリティ演習(通称:Delta Wall)」を開催、おおむね100を超える機関が参加しています。

5回目の開催となる2020年10月の「Delta Wall Ⅴ」の演習実施における特徴は次のとおりです。

  • インシデント発生時の内外との情報連携、対応手順確認
  • 社内の議論により、エスカレーションから経営的な意思決定までを検証
  • 多くの関係者が参加できる「自職場参加方式」
  • 専門家の知見や攻撃事案の分析を参考
  • 攻撃被害でなく改善策や優良事例の事後対応に力点
  • 演習結果を参加者以外にフィードバック
  • 昨今の勤務環境を鑑み、テレワーク環境で演習に参加

国の研究機関、NICT主催の「実践的サイバー防御演習(通称:CYDER)」

NICTナショナルサイバートレーニングセンターは公共機関やインフラ事業者、民間組織対象のサイバー演習「CYDER」を開発し、全国各地で開催しています。ITの研究機関であるNICTのサイバーセキュリティに関する技術的知見、また大規模環境を活用した体験型・実践的な演習のなかで、インシデント発生時の対応手順や備えておくべき点を学べます。

CYDERの特徴は以下のとおりです。

  • 基礎(A)と実践(B)の2コース制
  • 現実の脅威を想定、毎年最新のシナリオで演習
  • 座学とハンズオンによる状況確認能力と技術を学習
  • 基礎コースはグループによる役割分担とディスカッション中心
  • 実践コースは完全シミュレーションの演習と講師による解説つき
  • 受講しやすくするための事前学習と参加しやすいスケジュール設定

サイバー訓練実施のポイント

これまで見てきた大規模かつ定期的なサイバー訓練の開催事例も含め、訓練実施におけるポイントをまとめました。

参加しやすい条件日程調整、参加場所(現場・テレワーク)を考慮
リテラシーに配慮IT専門外の現場管理者等は事前学習・座学で基礎力をつけてから参加
目的・方向性インシデント発生・被害でなく、対処・連携にフォーカス
実践力の強化自組織の実情や昨今の情勢を反映したシナリオでのシミュレーション
フィードバックノウハウを組織内に周知・展開、現行の改良・改善へ
開催頻度脅威やシステム、諸情勢の変化の可能性から定期開催が望ましい

サイバー訓練の計画準備と実施、その後の流れ

所属組織内でサイバー訓練に取り組みたいと検討している方のために、訓練実施の流れを一通り紹介します。

サイバー訓練実施の流れ
  1. 企画立案
  2. 計画と準備
  3. 訓練開催
  4. 実施後

一度インシデントが発生すればその影響たるや大変なものですが、平時はどうしても実務を優先しがちです。したがって、計画性が甘いとサイバー訓練は意義がないと敬遠されたり、下手するとただの社内イベントになってしまいます。サイバー訓練を組織にとって有益なものとするために、どう進めるべきかをこれから説明します。

企画の立案

外部組織の人々と合同で学ぶ総合演習では、自組織に最適化した訓練や議論、検討の追求は難しい面があります。とはいえ、ノウハウのないまま単独で開催するのは危うさがともない、社内の理解や協力も得られない可能性があります。初めて取り組むのであれば、専門家のサポートを得て、企画や計画の構想に着手しましょう。

計画と準備

ここでは具体的な訓練内容を計画します。訓練目的の決定やシナリオ制作にあたって各部門が関心のある、もしくは懸案事項をヒアリング、もしくは共同して検討し、調整を行います。そのほかシナリオの題材の候補として、IPA(IT推進を担う政府系機関)が発表する「情報セキュリティ10大脅威」の最新版を参考に選定するのもいいでしょう。

残念ながら、インシデントの再現や、実機を使用するハンズオン形式の訓練は事実上困難なことが多いです。設定情報や状況を示すカードや、メール通知で訓練を進行するのが現実的です。
また、社内説明会を開催して訓練実施を周知し、関係者に参加準備を促します。

訓練開催

訓練といえども当事者感を持ってもらい、傍観者を出さない、参加者がいざというときに前向きに連携・協力関係を築けるように、事前教育や、訓練時の一体感醸成、訓練後の成果創出に努めましょう。

実際のインシデント対応演習に入る前に、座学等の事前教育を実施し、リスクの内容や検知手段、内外の対応と判断に必要なITの素養を獲得してもらいます。また、十分な知見を持つ実務担当であっても、インシデント対応前に文書の読み合わせと連携方法をひとまず確認し、実際のシミュレーションに入るとスムーズです。

演習後には振り返りや対応技術面の講評を行い、対応の体制や連絡調整、復旧手順などの課題洗い出しと認識、知識を共有します。またできれば今後につながる改善策や方向性を議論しましょう。

訓練実施後

サイバー訓練の実施後には、今後の施策や改善案の策定、規定の見直し、手順書反映など、現行の対応策をアップデート・修正します。

また決定事項を部門内外で共有やフィードバックしたり、必要であれば経営側に報告します。サイバー訓練に関わった関係者、また組織に成果として還元しましょう。
また、サイバー訓練は1回限りに終わらせず、各組織の事情に応じて定期的に実施しましょう。

サイバー訓練をサービスとして提供する企業も

社内のIT人材やその他リソース不足により、サイバー訓練実施にサポートが欲しいと感じる企業もあることでしょう。サイバー訓練のサービスベンダーもあり、ITセキュリティを専門にする企業や大手のシステム会社系の企業など、各社から提供されています。

また本格的なサイバー訓練に先行して、多くの人が普段使うメールを題材としたインシデント事例、標的型攻撃メールのサイバー訓練をプロトタイプ的に実施してみるのもいいでしょう。

LRMのご提供する「セキュリオ」では、標的型攻撃メール訓練を3ステップで簡単かつ一元的に実施していただくことが可能です。

  1. テンプレート選択・・・数十種類の訓練用メール文面から選定(新規作成も可能!)
  2. 送信結果確認・・・ユーザ毎の送信日時・開封といった状況が確認可能
  3. 訓練後教育・・・eラーニングで従業員のセキュリティ意識向上

その他にもたくさんの機能で貴社の情報セキュリティを向上・効率化いたします。まずは14日間の無料トライアルでお気軽にお試しください。

まとめ

サイバー訓練とは、組織が万一セキュリテイ事案に見舞われたときの対処法を学び、実践力を養うためのものです。

昨今の脅威の高度化により、防御策を講じても攻撃侵入の完全な回避が困難になりつつあります。いざというときの備えとして、定期的なサイバー訓練の実施をぜひ検討してみましょう。

また、標的型攻撃メールについての知識をまとめた資料はこちら。標的型攻撃メール訓練の準備や、従業員への教育にお使いください。

情報セキュリティ対策セキュリティ教育
タイトルとURLをコピーしました