ラックは9月28日、情報漏えいやサイバー攻撃被害などの情報セキュリティ事故が発生した際の対応方法を学ぶ「情報セキュリティ事故対応1日コース 机上演習編 リモートLive版」の提供を開始した。以前から提供されている演習コース「情報セキュリティ事故対応1日コース 机上演習編」を、コロナ禍の影響でテレワーク勤務が増えている実態を踏まえ、「テレワーク勤務下における事故対応に適合させたもの」となる。
テレワークへの適合とは、演習の想定がテレワークを実施している企業での事故対応となり、社員や各担当者がテレワーク中という想定になることと、演習の実施環境がテレワーク対応となって講師や受講者がウェブ会議システムやビジネスチャットツールを活用して参加できることの両方を意味する。
「情報セキュリティ事故対応1日コース 机上演習編」の概要
プログラムのおおまかな流れ。受講者は、与えられた情報に対してどのようにアクションを行うか(誰に何を依頼するか)をチーム内でディスカッションして決定し、講師に伝える。講師は全ての人の役を演じ、依頼されたアクションを行った結果を受講者に伝え、その繰り返しでシナリオが進行していく
セキュリティプロフェッショナルサービス統括部 セキュリティアカデミー 部長の白井雄一郎氏は、この研修プログラムが最初に開発されたのは2004年頃で、その後、ブラッシュアップを繰り返してきたものであることを紹介。
さらに「あらかじめどんなことが起こるかをお知らせした上で、決められた手順通りに動けるかを確認するのが訓練」だとした上で、「このコースは、正確に言えば“訓練”ではなく、セキュリティインシデントが起こることは決まっているものの、具体的に何が起こるかを最初に明かさない。最初に『もしかしたら事故かもしれない』という情報が入るので、それが事故かどうかを確認することから始めて、発生したインシデントの影響をできる限り軽減し、終息させる、というところを自分たちが動いてやってみる」ものだと説明した。
スタート当初のプログラムはCSIRT(Computer Security Incident Response Team)向けに開発したそうだが、実際に始まってみるとCSIRT以外の、普段は事故対応を担当しない人が受講する例も多く、現在ではセキュリティ意識を高める目的で広く活用されているという。
机上演習編 リモートLive版は1日間(午前10時00分~午後5時30分)で実施され、定員は21人までで1開催当たり税別120万円となっている。参加者は最大3チームの小グループに分かれ、グループ内でのディスカッションを行う。チームの人数が多過ぎると研修の効果が薄れるということで、基本的には1チーム当たり6、7人が上限とされていることから定員が21(7×3)人と設定されている。
また、机上演習とある通り、通常の集合演習として実施される場合には受講者はPCなどは使わず、ディスカッションがメインとなる。リモート版の場合はウェブ会議システムなどを介して参加することからPCを利用することになるが、あくまでもコミュニケーションのためのツールとしての利用であり、研修の内容が変わるわけではない。
ラック セキュリティプロフェッショナルサービス統括部 セキュリティアカデミー 部長 白井雄一郎氏
実際のシナリオは、とあるウェブコマースサイト運営会社のCSIRTに、「ある社員が受診した電メールの添付ファイルを開いたとき、ウィルス対策ソフトは反応しなかったものの、少し違和感を覚えたそうだ」という相談が入ってくるところから始まる。机上演習と言うこともあって、基本的には技術面には踏み込まないので、「PCにマルウェアが侵入していないかどうかを解析する技術力」が求められるわけではない。
では何をするかというと、基本的には「誰かに何かを依頼する」ことが中心となる。例えば、「怪しい添付ファイルを開いてしまった社員に対して、PCをCSIRTに持ってきてくれるよう頼む」「取引のあるウィルス対策ソフトベンダーに検体の調査を依頼する」といった具合だ。
実際に発生したセキュリティインシデントの経緯を研究して練り上げられているというシナリオはかなり複雑なもののようで、落とし穴が仕込まれていたりもするし、受講者の行動に応じて分岐したりもする。あらかじめ社員にかん口令を敷いておかないと社員がメディア関係者に情報を漏らしてしまい、「セキュリティインシデント発生」が広く報道されてしまって大騒ぎになる、といった状況も起こる。
全体のイメージとしてはテーブルトークRPGそのものであり、ゲームマスターに相当する講師は受講者から依頼を受けるさまざまな人の役を演じて適切な情報を返しつつ、受講者を誘導していく。
セキュリティ対応というと、マルウェアの解析を行ったり、ログを分析して攻撃者の行動をあぶり出したりといった高度な技術力を要する活動が思い浮かぶが、この演習から見えてくるのは、さまざまな専門家に協力を依頼しつつ、適切なタイミングで適切な行動を行うよう意志決定を下すことがまず重要だという点だ。
もちろん技術に関して全くの無知であって良いわけではなく、「社員のPCにマルウェアが感染した可能性があるとすれば、まずどのような対処を行うべきか」などのある程度の知識は必要になるが、目の前のPCにマルウェアが感染しているのかどうかを自力で調査できるレベルの技術力までは必要なく、その作業は専門家に依頼すれば良いということだ。
さらに、顧客や取引先に対してどのタイミングでどの程度の詳細情報を説明するかといった問題など、シンプルに正解を出せるわけではない難しい判断を次々に迫られることになる。
今回は、通常は講師として受講者をリードする立場の人が受講者役を演じ、シナリオの展開に沿って議論して行動方針を決めて、「誰かに何かを依頼する」場面をダイジェスト的に見ただけだが、それだけでもさまざまな気づきが得られ、有意義な体験となった。実際に研修に参加して、主体的に意志決定に関与した上でその結果をシミュレーションとはいえ確認することができれば、その学習効果が極めて高いことは間違いないだろう。
つい先日、東京証券取引所の株式売買システム「arrowhead」のシステムトラブルに際し、同社の社長/CIO(最高情報責任者)の的確な説明ぶりに賞賛が集まったことは記憶に新しい。セキュリティインシデントに関しても「攻撃者との技術力の戦い」という見方はあまりに視野が狭いと言わざるを得ず、問題の検知から究明、公表など、あらゆる場面で関係各所や広く社会とのコミュニケーションを軸に事態が推移していくことになる。ある程度限定的な範囲であるとは言え、このような状況を体験できる機会は貴重であり、受講者は極めて有益な体験が得られることは間違いないだろう。
