Armorisでいろんな案件にたずさわる川崎(筆者)です。
2023年11月中旬、日本を代表する、とある大企業(以下、A社)において、経営層を対象としたサイバーセキュリティ演習プロジェクトが実施されました。本プロジェクトは、A社サイバーセキュリティ部門と特定のサービスを提供する事業部門が中心となって進められ、企画・運営を行う中で、弊社CTO鎌田&CXO竹田及び筆者などがプロジェクト運営をサポートする形で進められました。
サポートメンバーには以前このブログでも紹介したレイン・オッティス(Rain Ottis)や、ヤーン・プリッサル(Jaan Priisalu)なども参加。欧州のサイバーセキュリティ視点も盛り込んだプロジェクトとなりました。
ここでは、本件プロジェクトを通じて得られた重要なポイントを2回に分けてまとめます。
どんなことをしたの?
A社の特定の事業領域において、当該事業の継続に重大な影響を与えるサイバーインシデントの発生を想定した机上演習方式で実施しました。演習には、A社のサイバーセキュリティ担当役員や広報責任者、サイバーセキュリティ部門、当該事業部門の幹部らが参加しました。
参加者は会議室に集合及びオンラインでウェブ会議システムに接続した上で、次々と提示されるInjection(今どのような状況にあるかを示した情報)に対して様々なアクションを行う方式で進められました。
演習はできる限り実際の現場を想定した構成となっており、そのため演習参加者以外の関係者ー例えば顧客や社内の他部門、外部の関係者などとコミュニケーションをとらなくてはならない場面になることもあります。そうした時には、演習のオペレータ(事務局)が内外の関係者役を演じて参加者からのコミュニケーションに応じることで、実際の状況に類似した舞台を演出することができます。これによって、参加者はよりリアルなインシデント対応を検討・実施することができるでしょう。
なお、演習プログラムは午後イチから夕方まで、半日程度のプログラムとなりました。
何のためにやるの?
今回の演習では、地理的に離れたA社のサイバーセキュリティ部門や広報部門などの管理部門と、実際の事業部門が適切に連携してインシデント対応を行うことができるのか、に主眼を当てたプログラムとなりました。
当然、参加者は経営層ですので、生半可なレベルではなく、多くの顧客への対応やそれに伴う多額の損害、またマスコミ報道によるレピュテーションリスクへの影響などを加味した重大なインシデントの発生を想定しました。詳細は伏せますが、例えば、数十万人の個人情報、それも住所氏名メールアドレスにとどまらず、より機微な個人情報が侵害を受けてしまったというような重大インシデントを想定した演習となりました。
どんなことが得られた?
ここで少し定義の話となりますが、「演習」とは英語では”Exercise”と翻訳される語であり、総合的な能力の向上、学びや気づきを得ること、特定のプロセスの検証と改善、などを目的に実施するものです。したがって、上手にできたかどうかよりも、どんな課題が見つかったかを重視する性質のプログラムと言えるでしょう。つまり、どんどんつまずいて、失敗したほうがいいのです。
ちなみに、これとよく似た用語で「訓練」ということばがあります。これは英語では”Drill”と翻訳され、ある手順や対処方法における習熟度の向上に重点を置いたものです。例えば避難訓練などは災害発生時に適切なルートで避難することを目的に行うことから、できるだけ手順を遵守して上手にできたかどうかが重要となります。
さて、演習参加者からは、セキュリティ対策の実装面といった技術的な事項のみならず、コミュニケーションの方法や段取り、集約すべき情報の性質や情報共有のスピード、内外関係者との連携など、組織的な側面においても多岐にわたって向上を図るべき課題があるとの認識に至ったとのコメントがありました。
演習においてより重要なのは、こうした課題を認識しただけで終わらず、これらの課題を改善した上で、また新たに演習を行って課題発見→改善する・・・といったサイクルを継続的に行うことです。
また、その際、見つかった課題の全てを改善できればそれがもっとも望ましいことですが、通常はさまざまなリソース上の制約があることから、一度にすべてが抜本的に改善できるケースは稀(まれ)でしょう。そのため、見つかった課題に対して改善すべき優先順位を設定して対処するという現実的な考え方も忘れてはいけません。
参加者の対応状況からA社の課題を分析しているCTOの鎌田
どんな風に進めたの?
恐らくこのブログをご覧いただいている方の中には、自らの組織でもサイバーセキュリティ演習に取り組んだ経験のある方や、あるいはこれから取組みを始めてみたい、と思っている方もいらっしゃると思います。次回は、どのようにこのプロジェクトを進行したのか、準備段階から具体的にご紹介したいと思います。
