6月1日、セキュリティ対策企業のラックが、社内向けのサイバー攻撃演習プログラム「LACサバイバルチャレンジ」を報道陣に公開した。演習環境内でECサイトを運営しながら、激化し複雑化する昨今の攻撃を体験し、知識や経験を養う実践的な訓練だ。その様子をレポートする。
本物のインシデントから作られた演習プログラム
LACサバイバルチャレンジは、架空のECサイトを運用しながらサイバー攻撃や顧客からの問い合わせに対処し、総売上げ額や評価ポイントの合計得点を競う演習プログラムだ。1チームあたり5名の編成で、ラック社内からは8チーム、外部からは電算が1チーム、合計9チームが参加した。
演習プログラムのシナリオはこうだ。『――参加者は、株式会社ラッコの情報システム部に先月異動してきたばかりの部員である。あるとき、社員のひとりがブラジルワールドカップの日本代表に選出され、大のサッカーファンである社長は、情シス部長を含む社員全員を引き連れてブラジル応援ツアーに出かけた。ただし、ECサイトを運用する情シス部員だけは残された。システム設定のドキュメントすらない状況で、最も売り上げが見込まれる日を迎える情シス部員は、サイバー攻撃を防ぎながら利益を上げなければならない――』。
シナリオのディテールはかなり冗談ぽいものの、サイバー攻撃の内容は限りなく「本物」に近い。ラッコ社のECサイトを襲うのは、セキュリティ監視センター「JSOC」や緊急対応サービス「サイバー119サービス」において、ラックがこれまで実際に対応してきたサイバー攻撃をベースにした攻撃だからだ。さらに、攻撃を仕掛けるのは、JSOCやペネトレーションテスト部門、電算などの精鋭20名からなるハッカー集団「あにょにます」。ECサイト側がインシデントを防いだ場合にはボーナスポイントが加算され、インシデントに対応しきれなかった場合にはペナルティが科される。
もっとも、攻撃ばかりに目を奪われているわけにはいかない。在庫の補充や商品価格の設定、社長や部長からのメールによる指示、IPAやJPCERTなどからのメールにも適切に対応する必要がある。総合得点は、こうした対応への評価を含む33項目で計算される。現実に近い想定の下で、総合的なECサイト運用力が試されるわけだ。
各テーブルにはWindows XP/7/8などの演習用ノートPCが用意されており、参加者はこれを使ってECサイトの運用作業を行う。自分のPCを持ち込むことはできるが、演習用ネットワークには接続できず、Web検索などでのみ利用可能だ。
各チームの売上額は、折れ線グラフで実況される。下に表示されている円グラフは、顧客(クローラー)の購入成功率を表している。ここには設定した商品価格の要素も大きく関わっている。高すぎれば売上が鈍り、安すぎれば在庫がすぐになくなって補充の手間がかさむ。つまり参加者は、攻撃を防ぎながら各商品の売り上げ状況をチェックしつつ、適切な価格を探って設定変更する。販売戦略も必要であり、ゲーム性はとても高い。
(→次ページ、体験することで本当の攻撃対応にも強くなる)