セキュリティー・インテリジェンス

ゲームで体験するサイバーセキュリティーの勘所 「TERMINAL」開発秘話

記事をシェアする:

「TERMINAL」でサイバー攻撃への対応をゲームで擬似体験

刻々と迫るタイムリミット。求められる瞬時の判断。あなたはハッカーの攻撃から空港を守れるか?

ゲーミフィケーションがセキュリティー対策に役立つ理由

サイバーセキュリティーは、今やあらゆる組織にとって不可欠です。しかしその一方で、強固なセキュリティー文化を築くことは骨の折れる課題だと考えている組織もまだまだ多いのではないでしょうか?クラウド環境も含めて、ユーザー、データ、アプリケーションを保護するには、組織のプロセスや構造を新たに構築して取り入れていく必要があります。それは、変化を管理していくこと、トレーニングの実施、これまでとは違うやり方で物事を進めるようにチームを説得することを意味します。トレーニング・プログラムでは、より興味深く学習に取り組む仕掛けをつくり、やる気を引き出すために、ゲームのテクニックを用いるケースが増えています。

「ゲーミフィケーション」とは、ゲーム以外の分野にゲームの要素や原則を取り入れることです。買い物で集めたポイントが多くなればなるほど、店頭やオンライン・ショッピングで使える割引やクーポンの数が多くなるというのは、ゲーミフィケーションの身近な活用例です。ポイント獲得以外にも、他者との競争、参加資格やタイマー、バッジの付与など、参加者のやる気を刺激し、アクションに報いるための要素は多数あります。もちろん、ゲームにつきものの、最終ゴールへの到達と勝負に勝つという要素もインセンティブとして働きます。

 

IBMセキュリティー・コマンド・センターにおける取り組み

これらの要素をサイバーセキュリティーに取り入れたらどうなるでしょうか? IBMではセキュリティー・コマンド・センターで使う没入型シミュレーションを作成するにあたり、ゲーミフィケーションを用いたサイバー攻撃のシナリオを考案しています。 そのシナリオは、さまざまなチームが協力して実際のサイバー攻撃に備える方法を学習できるように設計されています。サイバー侵害が起こると、その回復には数百万ドルのコストを要し、顧客に損害を与え、会社の評判を損なう可能性があります。経営幹部、部門長、ITとセキュリティーのスタッフは、本番さながらのセキュリティー侵害の疑似体験を通して、その「最悪の日」に備えてセキュリティー・ツールの使用方法や考え方を学習します。

IBMの3カ所のコマンド・センター(米国マサチューセッツ州ケンブリッジとアトランタにそれぞれ一拠点、ヨーロッパ全域のお客様向けには、大型トラック内の移動式のモバイル・センター)では、さまざまな業界の5,000名を超える参加者にトレーニング・セッションを提供してきました。お客様には、最大手の銀行や政府組織も含まれています。これらの組織の中には、経験豊富なインシデント対応チームを擁し、対応計画を実践し、スキルを磨くことに長けているところもあります。このような組織にとって、ランサムウェア攻撃や組織内部の人間による脅威など、特定のイベントを想定して社内の対応マニュアルのストレス・テストを実施することは、現実の世界でそのような事案に対応する能力を強化するうえで非常に重要です。これらの演習はすべてIBMのコマンド・センター内で実施できるため、ミスも許されますし、より良い対応に微調整していくことが可能です。

 

 没入型シナリオのシミュレーション型ゲーム

このように先進的な取り組みを進めている組織が増えている一方で、急速に変化する予測不能な環境に流動的に対応する必要性に迫られ、個人やチームに求められる条件反射的な対応能力を身に着けるプロセスを開始したばかりの状態にある組織も多数あります。このような組織の場合、没入型シナリオのシミュレーション型ゲームを使うことで、チームは、情報漏えいがいつ起きても即座に対応できるようになります。この取り組みを早く開始すれば、サイバー・インシデントが起こる最悪の日に備えて、チームをより速く成長させることができるようになります。

これらのシミュレーション型ゲームでは、机上の訓練では成し得ない方法で、参加者に対して認知的・情緒的にプレッシャーをかけることが重要です。時計がカチカチと音を立て、メディアや政府関係者からの質問の電話がひっきりなしに鳴り、システムがオフラインになり会社の株式が暴落し始めたという報告が入るような環境におかれる参加者は、計画外で準備不足のインシデント対応が、いかに費用のかかる過ちへと直結していくのかを身をもって実感します。チームはそれぞれの対応について学習し、インシデント対応のスピードも改善するため、現実にインシデントが発生するような場合でも、より準備を行った状態で、対応することが可能になります。

IBMのコマンド・センターが提供するゲーム化された攻撃シナリオは、ニュースのトップ記事に掲載された実際の漏えい事案や、サイバー攻撃の技巧を模倣した一連の攻撃手法を取り入れているため、チームのインシデント対応マニュアルとのギャップを明らかにすることができます。

システム侵害に対するシミュレーションは、消防訓練とそれほど大きな違いはありません。消火器はどこか、非常出口はどこか、 全員の安全確認、消火、被害を評価するためにはどのような決断をすべきかなど、訓練を積むことで、人々は現実の世界でも反射的に対応できるようになります。

サイバー攻撃を受けた場合、何が起きていて、次に何をすべきかを迅速に判断しなければなりません。安全衛生を考慮し、情報とコミュニケーションを管理し、データ分析から法的要件まで、膨大な数の課題に対処する必要があります。さまざまな部門の枠を超えた全社的な対応が求められます。ゲームのような環境で練習を積むことは、部門を超えたつながりを構築する上でも役立ちます。

IBMのコマンド・センター・チームがこれらのシナリオを活用するにつれて、訓練に参加するお客様がどのように反応し、どこで行き詰るか、どうやって成功するかをより明確に確認することができるようになりました。また、そこから得られた知見をもとに、さらに進んだ課題を洗い出すこともできるようになりました。お客様が訓練を通して学ぶように、IBMもまた訓練を通して、学びを得ています。

 

TERMINALとは

IBMコマンド・センターのチームが設計し、開発パートナーと協力して制作した最新のゲーミフィケーション・プロジェクトには、これまで述べてきたコンセプトがすべて反映されています。「TERMINAL」は、コマンド・センターでの疑似体験を幅広いお客様に提供し、サイバーセキュリティーの脅威と、それと闘うための備えに対する意識を高めることを目的とするオンライン・ゲームです。

TERMINAL」で目指しているのは、コマンド・センターでの演習と同様に、みなさんをシナリオに没頭させ、攻撃の展開に伴って高まるプレッシャーを体感していただくことです。ゲーム内では、さまざまな役割を経験するため、自分が下した決断は、そのうちに跳ね返ってきて悩みの種となるかもしれません。サイバー攻撃に見舞われているなか、記者からの電話取材に応えるでしょうか?記者には、何が起こっていると伝えるべきでしょうか?重要なシステムが侵害されています。シャットダウンしますか?ネットワークを切断しますか?そのネットワークが人々の健康と安全維持のために不可欠な場合にはどう判断すればいいのでしょうか?慎重に、かつ時間内に決断してください。しかし、残り時間はあとわずか…という状況が次から次へと展開されます。

TERMINAL」では、参加者が選択した決断と対応はトラッキングされ、最後に総合的なパフォーマンスの評価がグラフ形式で提供されます。グラフでは、技術的な対応、広報、お客様への配慮といった指標でパフォーマンスが示されます。「TERMINAL」は、IBMのコマンド・センターで提供しているものよりもはるかに単純な攻撃シミュレーションであり、実際の攻撃に対するトレーニングを目的としてはいません。しかし、あくまで個人の主観によりますが、ゲーム展開は明快で、ドキドキする感じもあり、楽しめると思います。

このように、シナリオ型のシミュレーション・ゲームを実践によって学ぶことができます。あるいは、「遊びながら学べる」と言うべきかもしれません・「TERMINAL」ゲームは、ibm.biz/terminal-jpで体験することができます。サイバー攻撃で全責任を負う雰囲気をぜひ味わってみてください。

 

【著者情報】


John Clarke

John Clarke
John Clarkeは、IBMのサイバーセキュリティーとゲーミフィケーションの戦略担当です。

 

この記事は次の記事の抄訳です。

https://www.ibm.com/blogs/think/2020/05/what-can-games-teach-us-about-cybersecurity/ (英語)

【関連情報】

 

More セキュリティー・インテリジェンス stories
2020-09-08

ゲーム「TERMINAL」に挑戦: IBM Security コンサルティング・SI事業 統括責任者 小川真毅

もしも、ビジネスの基幹システムがハッキングされたら…。サイバー攻撃に対するインシデント対応ゲーム「TERMINAL」は、ある巨大な国際空港が舞台。サイバー攻撃から国際空港を守るため、3つのステージを順にクリア […]

さらに読む

2020-05-18

【Webセミナー】IBM X-Force 最新調査レポートで徹底解説 2時間半で理解する脅威インテリジェンス活用セミナー

企業の IT 担当者、セキュリティー対応の担当者にとっては、世界のサイバーセキュリティーの脅威動向について常に新しい情報で知識をアップデートしておくことが重要です。 IBM はセキュリティー専門組織の「X-Force」が […]

さらに読む

2020-05-13

【事例】大手商業銀行、IBM X-Force Redの侵入テストを採用し、犯罪組織の手法を特定

IBM X-Force Red の侵入テストが、犯罪組織によるATM からの現金の盗難方法の特定に貢献 この銀行は、自社の広範なネットワーク内のATM にセキュリティー侵害が発生していることを検知した際に、IBM X-F […]

さらに読む