国内外でセキュリティインシデントの報告が相次いでいる。特にランサムウェアなどのマルウェアを起点としたサプライチェーン攻撃が大きく報道され、今やその関心は経営層にも及んでいる。その一方で、本当にサイバー攻撃に直面したときに経営層や事業部門も含めて、適切に対処できる企業がどれだけあるのだろうか。
そこで、日頃からセキュリティの最前線を追いかけているEnterpriseZine編集部は、オンライン講座として『実践手法を徹底解説! 最新版サイバー演習講座』を新設。これまで300組織以上を支援し、ニュートン・コンサルティング 執行役員CISO/プリンシパルコンサルタントを務める、内海良氏を講師として招へい。
今回、先日開催したセキュリティカンファレンスでも盛況を博した同氏に、1日でサイバー演習の要諦を学べる『実践手法を徹底解説! 最新版サイバー演習講座』の狙いと魅力について伺った。参加を迷われている方の参考にしていただくことはもちろん、サイバーセキュリティに興味のある方がいたら本記事を一読いただき、ぜひ一緒にオンライン講座へと参加していただきたい。
* * *
──はじめに、本講座は「サイバー演習」と冠しておりますが、その重要性自体は以前より訴えられてきました。近年どのような形で重要度が増しているのでしょうか。
言わずもがなですが、サイバー攻撃から「自組織を完璧に守る」という発想ではなく、「いち早く攻撃を検知し被害軽減につなげる」という考え方が一般的になってきています。それは、サイバーセキュリティ対応に係るグローバルスタンダードと言っても過言ではない『NIST CSF(NIST Cyber Security Framework)』というガイドラインにおいて、5つのフェーズ「識別、防御、検知、対応、復旧」で考え方を整理し、そのうち半分以上の3つのフェーズ「検知、対応、復旧」がインシデント対応に区分けできるところからもわかります。
また、最近は「サイバーレジリエンス」という言葉も浸透してきています。レジリエンスは、「回復力」「復元力」「弾力性のある対応能力」などを指す言葉です。つまり、インシデントが発生してもしなやかに対応・復旧させるという考え方です。このことからも、完璧な防御ではなく、被害が発生することを前提として、いち早く検知・対応することが重要視されていると言えます。
そして、サイバー攻撃の被害をいち早く検知し、対応・復旧していくための“インシデント対応能力”を養うためには、「サイバー演習」が1番有効だと言っても過言ではありません。疑似被害を発生させて対応を検証するということがインシデント対応能力を向上させるための近道です。
サイバー演習はやり方によって、SOC/CSIRTやIT部門のセキュリティ担当者といった専門職の方だけでなく、ビジネス部門や経営層の方にも様々な示唆・学びを与えることができます。
サイバー攻撃による被害は企業の信頼失墜、ブランドが損なわれる大きな被害につながるなど、経営に直結するような影響を及ぼす可能性が大きくなっています。たとえば、猛威を振るう「二重脅迫型ランサムウェア」攻撃においては、身代金要求への対応判断を経営陣が行うべきですし、いち早い外部公表の対応などは広報部、顧客対応は営業部門の関与が欠かせません。つまり、特定の部署だけでなく全方位的にインシデント対応能力を向上させる有効な手段がサイバー演習なのです。
──ランサムウェアのように攻撃手法が巧妙化している中で、なぜ今すぐサイバー演習に取り組むべきなのでしょうか。
もはや、“サイバー演習を実施しない”という選択肢はない時代だと思っています。前述した『NIST CSF』はもちろん、経済産業省による『サイバーセキュリティ経営ガイドライン』においてもサイバー演習の重要性に触れられており、定期的な実施を促しています。
実は、先に触れた以外にも、サイバー演習は様々な効果をもたらしてくれます。その最たるものが、サイバーセキュリティの重要性について「Unaware(認知していない状態)」の人たちを「Aware(認知している状態)」に持っていく効果です。
この点において、サイバー演習は非常に有効な手法だと実施するたびに実感しています。一般的に「組織のセキュリティレベルは、一番下の人のレベル=当該組織のセキュリティレベル」だと言われますが、このセキュリティレベルを底上げする意味でも非常に効果的です。
特に効果を発揮するのが、経営陣を巻き込んで実施した場合です。経営陣は、サイバー攻撃について詳しくないことも多く、疑似被害を実体験することで「Unaware」から「Aware」な状態に変わり、セキュリティインシデント対応の“自分ごと化”につながります。実際に「経営陣とサイバー演習を実施した後からは、セキュリティ予算が組みやすくなった」などの声をよく聞きます。
もちろん、初めからサイバーセキュリティの重要性を認識されているSOCやIT部門の方にとっても、技術的な対応はもちろん、各部署と連携した立ち回りまで検証でき、社内での共通認識を得られるという意味で非常に効果が高いです。
──今回のオンライン講座では最新事例や攻撃手法の紹介はもちろん、サイバー演習の設計方法、実践という項目が予定されていますね。実際に、どのような方に参加していただきたいと考えていますか。
前述した通り、サイバー演習は「実施して当たり前」の状況になっています。そのため、まずは社内でサイバー演習の企画・推進を図る方には、ぜひ参加いただければと思っています。
サイバー演習と一口に言っても、実際には様々な手法が存在します。それらを理解しないままに独自に実施しようとすると手戻りが発生するなど、企画が全然進まないという状況になりかねません。また、サイバー演習には、経営陣をはじめ複数の部署にまたがって多くの方に参加いただくことも多いのですが、“成果のない”サイバー演習はコストの大きな浪費とも言えます。
ここで知っておいていただきたいのが「サイバー演習にはお作法がある」ということです。設計に始まり、シナリオ作成、当日の進め方、振り返りなど、きちんとステップを踏んで実施しなければ効果は望めず、効率的に推進することが難しくなります。もちろん、サイバー演習については、外部コンサルタントを使って実施するケースも多いと思いますが、自社だけで設計から振り返りまでを推進できたほうが進めやすいのは間違いないでしょう。
そこで本講座では、実際にコンサルタントがサイバー演習を実施する際の“詳細なステップ”をお教えするとともに、自社で利用できる「設計シート」や「シナリオ」も共有します。つまり、たった1日で「自力で演習を企画できる」ところまで学んでいただけるようにしています。
──では、最後に参加しようか迷われている方に向けてメッセージをお願いいたします。
『実践手法を徹底解説! 最新版サイバー演習講座』は、ITの基本的な知識がある方であれば、どなたでも参加いただける内容となっています。日ごろからサイバー演習のコンサルティングを行うコンサルタントが、初心者にもわかりやすくお伝えするカリキュラムです。各種サイバー演習の設計などに係るツール類も提供しますので、良い学びになるのではと思っています。
──ありがとうございます。これを機会に「サイバー演習」のすそ野が広がることを期待しております。
【1日で学べる】セキュリティ担当者はもちろん、サイバー脅威に備えておきたい経営層やビジネス部門の方にもオススメ!
今回インタビューに応えてくれた内海良氏による『実践手法を徹底解説! 最新版サイバー演習講座』は、現在申し込みを受け付け中! セキュリティ担当者やIT部門の方はもちろん、ビジネス部門や経営層の方など、ITの基本的な知識がある方全員にお勧めの内容です。定員も限られているため、皆さま誘いあわせの上でお早めに申し込みください!
