「もうやるべきことはやった」,「セキュリティ対策にばかりコストをかけられない」――。最近は,企業ユーザーからこうした声をよく聞く。次々に現れる脅威に個別に対応していくことに「疲れ」を感じているのだろう。そのような逆風の中にあってより効果が見えやすいセキュリティの向上策として「サイバー演習」に興味を持つ企業が増えている。実際,JPCERTコーディネーションセンター(JPCERT/CC)がCSIRT機能の構築・運用を支援している企業でも,サイバー演習を実施した例がいくつかある。
日ごろの情報収集を中心とするインシデント管理と違って,インシデント対応は,どの企業でもそう頻繁に経験するものではない。いざインシデントが発生したときに適切にオペレーションできるようになるには,ポリシー策定と連絡系統の整備,そしてその周知が欠かせない。そこで重要になるのが,CSIRT関係者に向けたサイバー演習である。演習を通じて,ポリシーを再確認するとともに,初動から最終的な対策の意思決定に至るまでの流れをきちんと把握させ,対応能力に磨きをかけるわけだ。「社内にインシデントを全く発生させないため」に投資するのと比べると,サイバー演習の方が効果が見えやすいし,現実的だ。
一口に演習と言っても,実施する内容は目的によって様々である。目的の例としては,(1)インシデント解決のためのポリシー,計画,プロシージャ,基本的な前提条件,組織(部署)間の連携などの確認・検証,(2)担当部署・担当者,対応関係部署・関係者の役割と責任の明確化,(3)組織(部署)間の連絡調整およびコミュニケーションの改善,(4)組織としての期待と現状のギャップ分析といった点が挙げられることが多い。
演習の構成要素は7種類で,座学中心の討論形式演習と,実際の活動を伴う運用演習に大別できる。討論形式演習は,インシデント対応の計画やポリシーなどを解説する「セミナー」,明確な達成目標を持つあるいは成果物を作成する「ワークショップ」,仮想シナリオに基づいて既存のポリシーや手続き(プロシージャ)を議論することにより,意思決定プロセスを確認・検証する「机上演習」,グループで競争しながら活動をシミュレートすることにより,オペレーション・プロセスを確認・検証する「ゲーム」に分けられる。例えばワークショップでは,参加者にCSIRTの設計(文書化作業など)を体験してもらう。一方の運用演習は,特定のオペレーションや組織機能を実証する「ドリル」,インシデントにかかわる指示や情報集約,組織間連携などの能力を検証する「機能演習」,想定シナリオに基づき実際の動きを伴う「フルスケール演習」の3種類だ。
もっとも,必ず7種類の演習を一通り実施しなければならないわけではない。「ゲーム」をゴールとする場合なら「セミナー」と「ワークショップ」を合わせて3項目だけにするなど,目的に合わせて必要な演習項目を選べば良い。
サイバー演習を実施したCSIRT機能を持つある企業では,サイバー演習の結果,「自分たちの対応能力が低い部分が分かり,今後どこに投資すべきかが浮かび上がってきた」という。あなたの企業でも試してみてはいかがだろうか。
