セキュリティー・インシデントに直面した時、ものを言うのは事前の準備と心構えだ。こうした観点から、情報漏えいやランサムウェア感染といったさまざまなインシデントを想定し、どんな段取りで誰が動くかを確認する「演習」に取り組む企業が増えている。 ただ、いざ関係者を集めて演習をやろうにも、段取りはもちろん、現実の事件に即したシナリオを作成するのも大変だ。
そこでIBMでは、楽しみながら、セキュリティー・インシデント時にどのように判断を下し、動くべきかを学べる体験型ゲーム「TERMINAL」を公開した。一足早く体験した朝日インタラクティブの代表取締役社長、高野健一氏と取締役の雨森拓児氏が、どんな気付きを得られたかを、小川真毅(日本アイ・ビー・エム セキュリティー事業本部 コンサルティング&システム・インテグレーション 理事/パートナー)、徳田敏文(日本アイ・ビー・エム セキュリティー事業本部 X-Force Incident Response and Intelligence Services (IRIS) Japan Lead)という IBM のセキュリティー専門家と語った。*1
*1 本記事は、2020年10月にZDNet Japanで公開した記事の転載です。
朝日インタラクティブ 代表取締役社長
高野健一氏
朝日インタラクティブ 取締役
雨森拓児氏
3つの視点でインシデント対応を経験する「TERMINAL」
ZDNet: 最近ではインシデント対応演習も増え、カードゲーム式のツールも出ています。「TERMINAL」の開発に当たって留意したことは何ですか?
小川: TERMINAL は、世界中の皆さんにセキュリティー意識を高めてもらうことを目的に作りました。誰しも、サイバー攻撃やセキュリティー・インシデントはできれば経験したくないでしょう。しかし、心構えをしてきちんと準備しなければ、適切な対応は困難です。適切な準備を整えるには体験するのが一番ですが、サイバー攻撃がやってくるのを待つわけにもいきません。そこで、擬似的にセキュリティー・インシデントを体験し、心構えと行動のシミュレーションをしておくことがとても大切です。
徳田: 一般に、課題を解く形式の訓練は、解析アナリストやエンジニア目線で作られることがほ とんどです。これに対し TERMINAL は、「アナリスト目線」「マネージャー目線」「経営者目線」 という 3 つの観点から、それぞれの課題を解決する 3 つのシナリオを用意しています。アナリスト目線ならば、いかに効率よくログを解析してマルウェアを駆除するかが一番のミッションになりますが、マネージャー目線になると、全体を見通して対応の優先順位を付けたり、チーミングを行う要素が入ってきます。さらに経営者目線になると、自社が優先する価値観、プライオリティーや対外的な姿勢を問われる要素も盛り込んでおり、ぜひ楽しんで欲しいと思います。
日本アイ・ビー・エム セキュリティー事業本部
コンサルティング&システム・インテグレーション 理事/パートナー
小川真毅
日本アイ・ビー・エム セキュリティー事業本部
X-Force Incident Response and Intelligence Services Japan Lead
徳田敏文
ZDNet: では、経営者の立場にある高野さん、システム部門のマネージメント的な立場にある雨森さんは、それぞれどう楽しみましたか?
高野: 難しかったですね(笑)。没入感もすごくて、まるでハリウッド映画のようでした。危機感がどんどん高まり、周りからプレッシャーをかけられる中で判断を下すのがいかに難しいことか、頭で分かっていた つもりでも体験すると違いました。
雨森: ITアナリスト目線の「ACT1」では、最初、とにかく必死に目先の問題を全部つぶそうとしてしまいました。けれど、やってもやってもきりがなく、どんどんインシデントが増えて時間切れに なってしまう有様で……現場でもそうですが、「どこを先につぶせばいいか」という優先順位を付け、一番重要なところをつぶしていかなければいけないなと、後の振り返りで感じました。
私は以前、新聞社のシステム管理を担っていた経験があります。入稿の締め切り時間までに障害をつぶさなければならないというプレッシャーにさらされると、どうしても目の前の障害をつぶすことにやっきになってしまいがちですが、場合によっては代替手段を見つけて回避するという選択肢もあるでしょう。そうした、少しマネージメント寄りの判断も求められるんだなと思いました。
あなたならどうする?インシデント対応チームの編成
ZDNet: ACT2ではマネージャーの立場として、どのようにインシデント対応チームを編成するか、どのタスクにどの人を割り当てていくかも問われます。その辺りはいかがでしたか?
高野: バランスが必要だろうなと考え、職種がかぶらないようチームを編成しました。候補の中に「財務」があって、「これ、本当に必要なのかな?」と、ふと思ったんですが、実は必要な場面が出てきて……改めて、セキュリティー・インシデントの影響は全社に波及するし、対応には全員の力が必要だなと感じました。
雨森: 選べる人数が限られていたこともあり、私もバランスを考えてチームを編成しました。とはいえ、ついつい技術者ばかりにリソースを割いてしまいがちで、広報やサポートといった領域にどうリソースを割り振るかの判断が難しいなと感じました。
徳田: 現実のインシデントでは、ITエンジニアばかりがわーっと集まっても対応が進まないことが多いんですね。下手なサッカーと同じで、皆がボールの近くに集まっても長続きしません。 インシデントは短期では収束しないことがほとんどです。最初は ITアナリストが集中して作業する方がいいように見えますが、1週間後、2週間後を見据えると、幅広い視点という意味でも体力という意味でも、どうバランスよく対応するかが、インシデントに対応する際のリーダーの腕の見せ所です。現場とそれを支援するバックアップのラボとでどう人員を割り振るかもポイントですね。ゲームでは、いろいろな属性を持った人を、それもスペシャリストとゼネラリストと2種類用意して、その辺りをうまく再現していると思います。
小川: 本来ならば、ある程度「このタスクにはこの人」 というのを決めておき、それなりにパターン化しておくべきでしょう。そうすれば、いざというときに迷わなくても済むはずです。もう 1 つ、事前の段階で完璧な編成など分かりません。ある程度コアなメンバーを決めておき、後は状況に応じて足りない部分を補足するといった具合に柔軟に調整していけるようになれば、 成熟度の高い企業といえると思います。場合によっては専門家に頼ることも有力な選択肢でしょう。
何を軸にし、何を捨てるか -– 「優先順位付け」の重要度を体感
ZDNet: このゲームの舞台は、多くの人が使う「空港」です。ACT3の経営者目線のシナリオで特に問われる部分ですが、「空港の利用者の安全を確保する」という大きなゴールのほかに、飛行機の運用を確保する、空港内の混乱を収束させる、あるいはマスコミ対応を適切に行うなど、さまざまなミッションを果たさなければなりません。お二人はどこに優先順位を置いてプレイしましたか?
高野: 最初は、全部完全に封じ込めようと思ってやっていました。思うように点数が伸びず、何度もやり直したんですが、どれだけ反射神経が良くなっても“無理ゲー”だなと感じたところで、「あ、捨てなきゃいけないものもあるな」 と気付きました。インシデントを完璧に封じ込めるのは不可能である以上、被害を最小限にとどめてお客さまに迷惑をかけないようにしよう、という姿勢で臨むようにしました。
雨森: 現場によって優先順位は違ってきますから、「絶対にこうでなくてはならない」という原則はないと思います。今回の現場は空港ですからやはり「安全」が第一に来ると思いますが、シナリオの中では、急病人が出て対応しなければいけない突発的なイベントも発生しました。安全を第一に考えながらも、優先度を上げて対応しなければいけない事柄を的確に見極め、判断できる冷静さも持ち合わせないといけないなと思いました。
ZDNet: 優先順位の付け方について、アドバイスをお願いします。
小川: 少なくとも、自分たちは何を軸にしているのかを考えることが重要だと思います。「犯罪者には絶対お金を支払わない」というのも 1つの軸でしょうし、 人命を最優先に考えるのも大事な軸です。また、復旧して業務を止めないことを優先するのか、それとも原因究明を優先するかの判断を求められることもあります。いずれも両立はなかなか難しい事柄です。どれ を優先するかはその時々によって異なりますが、このゲームを経験することで、できるだけ早いタイミングでそれを判断しなければいけないことを体感いただけるのではないかと思います。
徳田: ゲームでは後ろで犬が走り回っていたりしますが、リアルなインシデントでも、対応の最 中にいろんな「雑音」が入ってきたり、想定していなかった重大な事故が発生することもある んですね。事前にある程度想定外のことに対応できる体制を用意しておかないと、破綻してし まいます。また、IT部門の人たちだけが走り回っていて、ほかの人たちは「俺たち、関係ないよ」 みたいな感じになってもうまくいきません。
日頃から、サイバー・インシデントが起きたら、 IT 部門だけでなく広報や財務、人事総務といったさまざまな人たちが一緒に対応するんですと言うことを浸透させていかないとなかなかうまくいかないのですが、このゲームにはそんな意図も組み込まれています。
ZDNet: 社内で関係性を作り上げるコツはありますか?
小川: 何かインシデントや課題が起きると、何とかして自分たちだけで解決しようとなりがちです。けれど実は、適任者や得意な組織があれば、そっちに任せてしまう判断を下すことが重要です。周りがよく見える人を配置して、他人に任せられることは任せ、本来自分たちがやるべきことに専念するのはとても重要なことで、ゲームをプレイしていてここに気付いた方もいると思います。
インシデントはいつか起こりうる、その日に備えてぜひ「体験」を
ZDNet: 今回、ゲームをプレイして得られた気付きは何ですか?
高野: 当社の場合、「あのシステムが倒れたときに分かる人はこの2人だから、下手にマニュアルを作るよりも、この2人がすぐ動ける体制を作る方がいい」 となりがちです。けれど、あれだけプレッシャーのかかった中できちんと対応できるのかというと疑問が残ります。やはり、きちんとマニュアルや体制を作っていかないといけないなと思いました。
ZDNet: 私も、事前の防御はもちろんですが、インシデントが起こりうることを前提とした対策が必要だなと思いました。
雨森: 防御できるのであればそれに越したことはありません。けれど攻撃側も進化していますし、 費用対効果の話もあるので、やはりいたちごっこになると思います。一定の防御をするのは基本ですが、それでもインシデントが起こりうることを前提に、計画や訓練を前進させたいなと思います。どうしても日常の仕事が優先になりがちですが、何とか進めていきたいですね。
高野: 私が一番思ったのは、「訓練しないとだめだな」 ということです。避難訓練や安否確認訓練と同じように、セキュリティーで被害を受けたときにどう動くか、 訓練をやっておくべきだなと思いました。
雨森: 私がプレイしていて真っ先に思い浮かんだのは、BCP (事業継続計画) という言葉です。災害とサイバーインシデントという違いはありますが、どう事業を継続していくかという観点でつながりを感じました。いずれもいろんな人が当事者意識を持ち、それぞれ役割分担し ていかないとうまく回りません。当社はそんなに規模は大きくない会社ですが、それだけに、実際に何かが起きたときには全員で動いていかないなと思いましたし、そのための訓練も必要だなと、課題を認識しました。
ZDNet: 今回の経験を踏まえて、このゲームをどんな人にお勧めしたいですか?
高野: 普段自信たっぷりに、偉そうにしている人こそやってみるのがといいと思います。
雨森: 普段からある程度セキュリティー意識が高いと自認されている方でも、実際やってみると、思っていたのと違うぞと慌てふためくと思いますね。 また、普段あまりサイバーと関わりのない人たちにもぜひやってほしいと思います。
高野: ゲームをやって「面白かった」だけで終わるのではなく、きちんとフィードバックの場も設けたいですね。小ネタで盛り上がるのはもちろんですが、「このとき、どんなことを考えたのか」といった話し合いを通して理解を深められると、なお良いのではないでしょうか。
雨森: 実は日頃、ゲームの各局面と似たような判断を求められている人って意外と多いのではないでしょうか。そういった実体験と照らし合わせ、いっそう頑張ろうと思ってもらえればと思います。
ZDNet: 最後に一言お願いします。
小川: 一回だけではなく、時間の許す限り繰り返しやっていただくことで、インシデント対応の 勘所を理解いただけると思います。また、普段現場で仕事をしていて、「どうして上長のレスポ ンスは遅いんだろう」と不満を抱いている場合、 このゲームを経験すると、上長は上長でめまぐるしく変化する状況を見ながら優先度を付けながら対応していることも理解できるのではないでしょうか。こんな風にゲームを通じてほかの視点を知ることで、訓練の効果はいっそう高まると思います。
徳田: 繰り返しになりますが、経営層がどういう観点でインシデントを見ているかを知り、IT エンジニア以外のいろいろなファンクションを持った人たちの役割が非常に重要だと気付くきっかけになると思います。もしこの先インシデントが起きたとき、どんなステップを踏み出すのか、その第一歩はマニュアル化されているのかどうかを点検する、そんな風に対応体制を前進させるきっかけになればうれしいです。
