Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

適切なサイバーセキュリティ対策の確立に向けた努力を――名和利男氏が解説する「机上演習(TTX)活用のポイントと公然情報の重要性」

2018/11/05 10:12

 サイバー攻撃によるインシデントが発生した際の対応は、「検知・認知」し「理解・判断」を行い「指示・支援」により対処する。しかし、日本ではこのロジックがうまく機能せず、インシデントが拡大してしまう傾向がある。この課題の解決には、潜在化事象の把握と机上演習が有効だ。編集部主催のカンファレンス「Security Online Day 2018」では、株式会社サイバーディフェンス研究所の上級分析官である名和利男氏が登壇し、公然情報と机上演習の実例とポイントを紹介した。

適切な初動対応のために重要な机上演習(TTX)

 名和氏はサイバーディフェンス研究所の他にも、PwCのサイバーサービス、アーバーネットワークスでも活動しており、2018年10月からは日本サイバーディフェンスの理事に就任するなど、幅広く活動を行っている。特に、海外の知見の活用により日本全体のセキュリティの底上げをすることに注力している。名和氏は、日本のセキュリティ対策において、まだ伸びしろのある部分があると指摘。それは、「豊富な情報を利活用できていないこと」だとした。

株式会社サイバーディフェンス研究所 専務理事/上級分析官 名和 利男氏
航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当業務に従事した後、JPCERTコーディネーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究所に参加。現在、専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT構築及びサイバー演習の支援サービスを提供している。最近では、サイバー脅威インテリジェンスに関する活動を強化しており、重要サービスを提供する民間企業や公的機関のアドバイザーを兼務している。

 豊富な情報とは、公然情報、分析情報、あるいは共有情報と呼ばれるもので、注意喚起などがこれに該当する。こうした公然情報は、内閣官房のNISC、総務省のNICT、経産省のIPA、警察のCFC、セキュリティベンダーなど様々なところが公開している。例えば、平昌オリンピックに絡んだサイバー攻撃に注目すると、海外の情報では、攻撃者の意図に着目した「偽旗作戦」と攻撃技術に着目した「破壊型攻撃」の両方をバランス良く分析したものが多い。「偽旗作戦」とは、北朝鮮のふりをして実はロシアのサイバー攻撃だったというようなものである。しかし、日本では「破壊型攻撃」に関する情報が極端に多く、それだけを眺めてしまうと本質を見誤る可能性がある。  

 インシデント対応において誤認識や不理解があると誤指示につながり、回避や抑止をするはずが拡大や潜在化を引き起こす可能性もある。日本では、本来正しく行うべき検知・認知、理解・判断、指示・支援のロジックがうまく機能していないと名和氏は指摘した。その大きな要因には、インシデントが発生した際に顕在化事象しか見ずに、潜在化事象を把握できていない状況があるとした。海外には潜在化事象を提供するサービスが数多く提供されているが、これには安くない費用がかかってしまう。  

 そこで活用すべきものが公然情報。こうした情報の中には、ヒントやトリガーがたくさん記載されているし、無料で入手できる。これを使わない手はないと名和氏は強調した。また、サイバー演習を実施している企業や組織は多いが、机上演習はあまり実施されていない。呼び方は異なるものの、自衛隊や海上保安庁、警察などでも机上演習が行われており、英語で「Tabletop Exercise」と呼ばれることから「TTX」として説明した。  

 TTXは、注意喚起などの公然情報をもとにシナリオを作成し、それに沿って現場チームとCSIRTがプレイヤーとしてディスカッションを行う。現場チームは、発生したインシデントに対して、現場が実施すべき初動としての「被害拡大の回避策」及び「感染PCの特定作業」の対処アクションを検討するとともに、CSIRTに対して、どのような支援依頼をすることが妥当であるかを検討する。CSIRTは、現場チームが行う初動対処に対する支援として、「提供すべき重要情報」および「実施すべき対処アクションや留意事項等のアドバイス」について検討する。  

 インシデントが発生した際には、可能な限り情報収集を行い、ある事象が何を意味するのか、危険性はどのレベルなのかを見極め、指揮命令系統を発揮して現場で動く。これは戸惑ってはいけないし、間違ってもいけない。特にインシデント発生時には、初動対応が非常に重要になる。また、自称専門家やソーシャルメディアが断片情報を想像豊かにSNSで発信し、フェイクニュースとなって組織のブランドを著しく下げてしまうことがある。そのためにも、TTXを何度も行って適切な初動対応を行えるようにする。特に、発生後24時間が肝であるとした。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

  • 吉澤 亨史(ヨシザワ コウジ)

    元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

バックナンバー

連載:Security Online Day 2018 イベントレポート

もっと読む

All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5