SIRTの組成や担当割り当てからメディアへの対応まで、インシデント対応で考えるべきこと
サイバー攻撃被害を体験、IBMのゲーム「Terminal」をプレイして見えたもの
2020年11月24日 08時00分更新
サイバーセキュリティ対策に“100%の防御”は存在しない。どんなに万全を期して臨んでも、防御を突破される可能性はゼロにはならない。多くのIT/セキュリティ担当者は、こうした心構えで日々の業務にあたっているはずだ。
だが、それを理解していたとしても、いざサイバー攻撃が発生して社内の端末が次々と稼働停止に追い込まれたら――果たしてあなたは慌てずに対応できるだろうか。そんな危機感や焦燥感を擬似的に体験できるのが、IBMがオンライン公開しているサイバー攻撃シミュレーションゲーム「Terminal」だ。
IT担当者/管理職/経営者の視点でインシデント対応を体験する
ゲームの舞台は、とある国際空港。ある朝、原因不明のシステム障害が発生し、IT担当者であるプレイヤーは対応に借り出される。しかし、対応を行っても状況は改善されず、複数のシステムが次々に稼働停止していく。その影響は空港の幅広い業務や航空会社、利用者に及び、混乱が徐々に広がっていく。そんな中で、空港内の案内表示板にシステム乗っ取り宣言が映し出され、業務端末には身代金を要求する警告文が表示された――。
プレイヤーはここから、ITアナリスト、マネージャー、エグゼクティブのそれぞれの立場に立ってインシデントに伴うさまざまな課題を解決し、空港の稼働を維持させつつ、この困難な事態を収束させなければならない。米マサチューセッツ州ケンブリッジにある「IBM Security Command Center」で体験学習できる擬似的な攻撃シナリオをベースに作成されており、ゲームとしてもかなり作り込まれている。
「実はこのゲーム、“玄人受け”するんですよね」。日本IBMでインシデント対応およびインテリジェンスサービスを提供するX-Force IRISの部長、徳田敏文氏はそう言って笑う。過去さまざまな緊急対応の現場を支援し、修羅場を乗り越えてきた同氏によると、このゲームに組み込まれた設問内容や解答の選択肢、差し挟まれる映像のひとつひとつに意味や知見が隠されているという。
たとえばIT担当者のステージは、無線LANに通信障害が発生したのでアクセスポイントのファームウェアを1台ずつ更新するよう指示を受けるところから始まる。ゲーム性を高めるために1台ずつ更新させられるのかと思いきや、徳田氏は「空港や工場のような施設ではあり得る話です」と現場の実態を説明する。
以前、WannaCry感染被害の対応でとある工場へ出向いたときには、工場中を走り回って壁に埋め込まれた機器を探し当て、1台ずつUSBメモリを挿してレジストリを書き換え、WannaCryを駆除し再起動という作業を行ったと振り返る。「状況をあまり理解していない工場関係者に『パソコン屋が何しに来た』『早くしてくれ』と怒鳴られ、汗だくで工場内を走り回って対応しました(笑)」(徳田氏)。
インシデント対応はIT/セキュリティ部門だけの役目ではない
続くマネージャーのステージでは、冒頭で「インシデント対応チームのメンバー選び」イベントが発生する。いわゆる、SIRT(セキュリティインシデント対応チーム)メンバーの選出だ。メンバーはITエンジニアだけでなく、広報、財務、カスタマーサービスなどのスタッフから選ぶことになる。
徳田氏によれば、通常は必要に応じてメンバー数を調整するそうだが、このゲームでは(あらかじめ選出された4人に加えて)4人しか選べず、判断が難しいという。ポイントは事業内容やインシデントの状況に応じて、適切な部門からメンバーを集めることだ。
「日本の場合、どうしてもIT担当者やセキュリティアナリストでSIRTメンバーを固めがちです。しかし、たとえば顧客やマスコミから問い合わせがあったとき、適切に応対したりプレスリリースを出したりするには広報担当者が必要です。また、急な人員割り当てや機器/サービスの購入で対応コストが発生することもあるので、お金を動かせる財務担当者もメンバーに加えるべきでしょう」(徳田氏)
SIRTに選出したメンバーには、雨後の竹の子のごとく発生する課題への対応に活躍してもらうことになる。ただし、担当者選びに迷うような課題が発生したり、インシデントに関係しない課題も報告されたりするため、適切かつ即座に判断するのはなかなか難しい。たとえば「免税店でクーポン券が使えないので、発行者に連絡して問題を調査してほしい」という報告を受け、カスタマーサービスの出番かと思いきや、クーポンを発行する会社との調整ができる財務担当者を割り当てるのが正しい、といった具合だ。
「(報告された課題が)インシデント対応に関係ないものであれば、無視するという判断も必要です」。そう述べる徳田氏は、サイバー攻撃の被害を最小限に抑えるという最重要ミッションを遂行するためには、ときにそうした“非情な判断”も必要だと語る。