SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day Special

2024年10月16日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2018 イベントレポート

適切なサイバーセキュリティ対策の確立に向けた努力を――名和利男氏が解説する「机上演習(TTX)活用のポイントと公然情報の重要性」

 サイバー攻撃によるインシデントが発生した際の対応は、「検知・認知」し「理解・判断」を行い「指示・支援」により対処する。しかし、日本ではこのロジックがうまく機能せず、インシデントが拡大してしまう傾向がある。この課題の解決には、潜在化事象の把握と机上演習が有効だ。編集部主催のカンファレンス「Security Online Day 2018」では、株式会社サイバーディフェンス研究所の上級分析官である名和利男氏が登壇し、公然情報と机上演習の実例とポイントを紹介した。

適切な初動対応のために重要な机上演習(TTX)

 名和氏はサイバーディフェンス研究所の他にも、PwCのサイバーサービス、アーバーネットワークスでも活動しており、2018年10月からは日本サイバーディフェンスの理事に就任するなど、幅広く活動を行っている。特に、海外の知見の活用により日本全体のセキュリティの底上げをすることに注力している。名和氏は、日本のセキュリティ対策において、まだ伸びしろのある部分があると指摘。それは、「豊富な情報を利活用できていないこと」だとした。

株式会社サイバーディフェンス研究所 専務理事/上級分析官 名和 利男氏
航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当業務に従事した後、JPCERTコーディネーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究所に参加。現在、専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT構築及びサイバー演習の支援サービスを提供している。最近では、サイバー脅威インテリジェンスに関する活動を強化しており、重要サービスを提供する民間企業や公的機関のアドバイザーを兼務している。

 豊富な情報とは、公然情報、分析情報、あるいは共有情報と呼ばれるもので、注意喚起などがこれに該当する。こうした公然情報は、内閣官房のNISC、総務省のNICT、経産省のIPA、警察のCFC、セキュリティベンダーなど様々なところが公開している。例えば、平昌オリンピックに絡んだサイバー攻撃に注目すると、海外の情報では、攻撃者の意図に着目した「偽旗作戦」と攻撃技術に着目した「破壊型攻撃」の両方をバランス良く分析したものが多い。「偽旗作戦」とは、北朝鮮のふりをして実はロシアのサイバー攻撃だったというようなものである。しかし、日本では「破壊型攻撃」に関する情報が極端に多く、それだけを眺めてしまうと本質を見誤る可能性がある。  

 インシデント対応において誤認識や不理解があると誤指示につながり、回避や抑止をするはずが拡大や潜在化を引き起こす可能性もある。日本では、本来正しく行うべき検知・認知、理解・判断、指示・支援のロジックがうまく機能していないと名和氏は指摘した。その大きな要因には、インシデントが発生した際に顕在化事象しか見ずに、潜在化事象を把握できていない状況があるとした。海外には潜在化事象を提供するサービスが数多く提供されているが、これには安くない費用がかかってしまう。  

 そこで活用すべきものが公然情報。こうした情報の中には、ヒントやトリガーがたくさん記載されているし、無料で入手できる。これを使わない手はないと名和氏は強調した。また、サイバー演習を実施している企業や組織は多いが、机上演習はあまり実施されていない。呼び方は異なるものの、自衛隊や海上保安庁、警察などでも机上演習が行われており、英語で「Tabletop Exercise」と呼ばれることから「TTX」として説明した。  

 TTXは、注意喚起などの公然情報をもとにシナリオを作成し、それに沿って現場チームとCSIRTがプレイヤーとしてディスカッションを行う。現場チームは、発生したインシデントに対して、現場が実施すべき初動としての「被害拡大の回避策」及び「感染PCの特定作業」の対処アクションを検討するとともに、CSIRTに対して、どのような支援依頼をすることが妥当であるかを検討する。CSIRTは、現場チームが行う初動対処に対する支援として、「提供すべき重要情報」および「実施すべき対処アクションや留意事項等のアドバイス」について検討する。  

 インシデントが発生した際には、可能な限り情報収集を行い、ある事象が何を意味するのか、危険性はどのレベルなのかを見極め、指揮命令系統を発揮して現場で動く。これは戸惑ってはいけないし、間違ってもいけない。特にインシデント発生時には、初動対応が非常に重要になる。また、自称専門家やソーシャルメディアが断片情報を想像豊かにSNSで発信し、フェイクニュースとなって組織のブランドを著しく下げてしまうことがある。そのためにも、TTXを何度も行って適切な初動対応を行えるようにする。特に、発生後24時間が肝であるとした。

次のページ
TTXの実施方法と問題のあぶり出し

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Day 2018 イベントレポート連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11337 2018/11/05 10:12

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング