適切な初動対応のために重要な机上演習(TTX)
名和氏はサイバーディフェンス研究所の他にも、PwCのサイバーサービス、アーバーネットワークスでも活動しており、2018年10月からは日本サイバーディフェンスの理事に就任するなど、幅広く活動を行っている。特に、海外の知見の活用により日本全体のセキュリティの底上げをすることに注力している。名和氏は、日本のセキュリティ対策において、まだ伸びしろのある部分があると指摘。それは、「豊富な情報を利活用できていないこと」だとした。
豊富な情報とは、公然情報、分析情報、あるいは共有情報と呼ばれるもので、注意喚起などがこれに該当する。こうした公然情報は、内閣官房のNISC、総務省のNICT、経産省のIPA、警察のCFC、セキュリティベンダーなど様々なところが公開している。例えば、平昌オリンピックに絡んだサイバー攻撃に注目すると、海外の情報では、攻撃者の意図に着目した「偽旗作戦」と攻撃技術に着目した「破壊型攻撃」の両方をバランス良く分析したものが多い。「偽旗作戦」とは、北朝鮮のふりをして実はロシアのサイバー攻撃だったというようなものである。しかし、日本では「破壊型攻撃」に関する情報が極端に多く、それだけを眺めてしまうと本質を見誤る可能性がある。
インシデント対応において誤認識や不理解があると誤指示につながり、回避や抑止をするはずが拡大や潜在化を引き起こす可能性もある。日本では、本来正しく行うべき検知・認知、理解・判断、指示・支援のロジックがうまく機能していないと名和氏は指摘した。その大きな要因には、インシデントが発生した際に顕在化事象しか見ずに、潜在化事象を把握できていない状況があるとした。海外には潜在化事象を提供するサービスが数多く提供されているが、これには安くない費用がかかってしまう。
そこで活用すべきものが公然情報。こうした情報の中には、ヒントやトリガーがたくさん記載されているし、無料で入手できる。これを使わない手はないと名和氏は強調した。また、サイバー演習を実施している企業や組織は多いが、机上演習はあまり実施されていない。呼び方は異なるものの、自衛隊や海上保安庁、警察などでも机上演習が行われており、英語で「Tabletop Exercise」と呼ばれることから「TTX」として説明した。
TTXは、注意喚起などの公然情報をもとにシナリオを作成し、それに沿って現場チームとCSIRTがプレイヤーとしてディスカッションを行う。現場チームは、発生したインシデントに対して、現場が実施すべき初動としての「被害拡大の回避策」及び「感染PCの特定作業」の対処アクションを検討するとともに、CSIRTに対して、どのような支援依頼をすることが妥当であるかを検討する。CSIRTは、現場チームが行う初動対処に対する支援として、「提供すべき重要情報」および「実施すべき対処アクションや留意事項等のアドバイス」について検討する。
インシデントが発生した際には、可能な限り情報収集を行い、ある事象が何を意味するのか、危険性はどのレベルなのかを見極め、指揮命令系統を発揮して現場で動く。これは戸惑ってはいけないし、間違ってもいけない。特にインシデント発生時には、初動対応が非常に重要になる。また、自称専門家やソーシャルメディアが断片情報を想像豊かにSNSで発信し、フェイクニュースとなって組織のブランドを著しく下げてしまうことがある。そのためにも、TTXを何度も行って適切な初動対応を行えるようにする。特に、発生後24時間が肝であるとした。
