ウォーゲームで脅威に「対応する機能を手に入れる」
さらに「サイバー」に限って言えば、十分に備えられている組織は少ない。知識は少なく認識度も低い、そもそもビジネスの目的と合っていないケースも多いという。そこでニーマイヤー氏が顧客に対して行なうアドバイスは、「サイバー対策について変革をせねば」というものだ。ただ単にファイアーウォールを入れるだけに留まらず、予防的なコントロール、セキュリティ対策、モニタリングシステムなど様々な施策が必要となる。中でも「対応する機能を手に入れる」ことにおいては、サイバーウォーゲームが役に立つという。サイバーウォーゲームをやることによって、組織がどのくらい準備しており、どのくらいスピーディに対応できるかということが詳らかになるというのだ。
ここでニーマイヤー氏はウォーゲームの歴史を紹介。チェスに始まり、H.Gウェルズ著のボードゲームに至るまで、様々なウォーゲームが世の中に登場してきた。現在も続いており、オランダの電機メーカーの経営陣が行ったDDos攻撃を想定した対応ゲームの様子や、IoTカメラから入ったウイルスにより工場、オフィスまですべてのサプライチェーンが失われたという食品メーカーの例などが紹介された。
出所:デロイト トーマツ リスクサービス株式会社[画像クリックで拡大表示]
ニーマイヤー氏は、オリンピック・パラリンピックやラグビーワールドカップ、原子力発電所など、攻撃の対象となるものが多い日本においても、そうしたウォーゲームの演習が必要なのではないかと指摘する。他にも金融や医療など、様々なトピックを用いた演習が可能だろう。
では、そうした場合のウォーゲームとは何か。正式な定義としては、「(実際のインシデント対応者から経営陣に至る)参加者に特定のサイバー状況のシミュレーションを行わせることで、組織のサイバー対応力を評価、向上、改善をサポートするインタラクティブ型の技法」である。そして、問題提起とシナリオがあり、必ず敵を仮想した対戦型であること、社内の実際のプロセスや人が参加すること、そして最も重要なのは、イベントが発生した時の参加者の意思決定が最終的な結果に影響するということだ。
またウォーゲームには目的ごとに3つのタイプがある。まず1つ目は新しいクライシスやリスク、その影響を洗い出し対策を見つけ出す「発見」、現在の自分たちの計画やプロセスを評価し、改善点を見つける「評価」、そして未来の環境を探り、事前の対策として備える「未来に向けた戦略」である。そしてその効果として、組織のリスクに対する認識の理解を深めること、代替案の開発や強化を見出すこと、そして実際にシミュレーションを行い検証することが可能になる。
セキュリティに膨大な投資を行なうと、つい使い続けようという気になりがちだが、リスクを取り巻く環境が変化する中で、対策も変えていく必要が生じる可能性がある。しかし、実際の危機によって経験を積むというのは難しい。ニーマイヤー氏は「だからこそ、シミュレーションを通じてしっかりとプロセスを確認し、関係者同士で意見を交換し、次なる対策を講じておくことが必要」と強調する。
特に日本人はオランダ人同様に、関係者のコンセンサスのもとで意思決定を行なう傾向がある。しかし、実際に危機が起きた場合、限られた時間内に、そうした意思決定を図ることは難しい。迅速な判断をするのは大変なプレッシャーがかかる。さらには平常時と異なるカオス状態では、何か調整する必要が生じたときには、平時ですら難しいコミュニケーションがますます難しくなる。「誰に何をどうやって伝えるべきか」を決めていかなければならない。
そうしたことを鑑み、ニーマイヤー氏がどのようなウォーゲームを行なっているのか。まず「初級」では、通常の対応者を参加者として、予め作成したシナリオに従って簡単なサイバーインシデントに対応する練習を行なう。脅威への認識を高め、学習し、慣れてもらうことが目的だ。これを定期的に行なうことで、業務の中に浸透させることができる。
そして、認識を深め、慣れてきたところで「中級」ではサイバー机上訓練を行なう。ここにはセキュリティ担当者に加え、法務担当者も参加する。そしてファシリテーターが用意したシナリオに基づいて、やや複雑なインシデントへの対応を行なう。それによって現在の対策が機能しているかどうかをチェックし、改善点を見つけることが目的となる。
出所:デロイト トーマツ リスクサービス株式会社[画像クリックで拡大表示]
