コラム

海外事例に学ぶサイバー演習手法その③-Cyber Storm V

2018年07月09日

プリンシパルコンサルタント

内海 良

プリンシパルコンサルタント 内海 良

近年のサイバー攻撃が高度化・複雑化し、完全に防ぐという防御から、侵入された際の検知、被害軽減が重要視されてきています。そして、その検証にはサイバー演習が効果的です。

これまで何度か海外におけるサイバー演習を取り上げてきましたが、今回はCyber Stormを取り上げます。
 

【海外のサイバー演習事例】
年度 演習名 開催国・地域 備考
2011 Waking SharkⅠ 英国 金融
2011 Quantum DawnⅠ 米国 金融
2011 Raffles3 シンガポール 金融
2012 Dear Chairman exercise1 英国 金融
2012 CAPP exercise 米国 金融
2013 Waking SharkⅡ 英国 金融
2013 Quantum DawnⅡ 米国 金融
2014 Raffles4 シンガポール 金融
2014 Resilient Shield 英国/米国 金融
2014 Dear Chairman exercise2 英国 金融
2014 CAPP exercise 米国 金融
2015 Quantum DawnⅢ 米国 金融
2015 WISE 香港 金融
2016 Cyber Star シンガポール 複数業種
2016 DHS Cyber Storm5 米国 複数業種
2016 ENISA Cyber Europe2016 EU IT業界を中心に複数業種
2017 Quantum DawnⅣ  米国 金融

 

  

Cyber Stormの概要

Cyber Stormは、米国のDHS(国土安全保障省)のもと、サイバー攻撃による国家レベルの危機が発生した際の対応能力の検証を目的として、2006年から約2年の間隔で実施されています。これまで計4回の実施を数え、この演習を通じ、サイバー攻撃への国・州・他国・民間という業界を超えたサイバー攻撃対応及び連携強化を図っています。

 

Cyber Storm Vの概要

Cyber Storm Vは、2016年3月、米国内外の公的・民間機関から1,200人以上の参加者で実施されました。業種は限定されていませんが、IT・コミュニケーション・医療公共衛生・商業施設のインフラセクターに重点がおかれています。その範囲や目的、実施方法は以下の通りです。

 
【Cyber Storm V演習計画】
範囲 参加者 省庁(10)、州政府・組織(32)、民間企業(45)、調整役(22)、他国(12)
総勢1,200名以上
※カッコは参加組織数
日時 2016/3/8から 3/10
3/7は準備日、3/11は振り返り日
対象システム 民間企業のバックオフィスシステム、政府関連システム、医療関連システム、金融決済システム等
目的
  • サイバー攻撃が発生した際の情報連携の仕組み、情報共有、意思決定の手順の検証
  • 関連する政策も含めた政府の対応の評価
  • 各組織やコミュニティ内での演習・評価・手順の改善等を目的としたフォーラムの開催
  • DHSおよび他の政府組織の役割、機能、対応能力の評価
方法 机上演習(演習参加者は自職場からの参加)
※メール、電話、演習用ウェブサイトを演習時のコミュニケーションツールとして活用

 

 

18カ月に及ぶ演習シナリオの検討

18カ月の間には、スコープの決定、デザイン、準備、演習実施、評価という5つのフェーズで実施しています。スコープ決定フェーズでは、DHSと演習計画チームがスコープとコンセプト、目的、実施日時、対象となる業種等を立案。デザインフェーズでは、計5回の打ち合わせを実施して、DHSと演習計画チームに加え、各組織の計画担当が参画し、目的と達成目標を決定しています。準備フェーズでは、参加者への事前説明を目的とした会合を開き、以降、演習の実施、評価という流れで進めていました。

 

2273_ext_05_4.jpg

図1:Cyber Storm Vでの準備期間(出典:Cyber Storm V: After Action Report)

演習シナリオと演習の進め方 

細かいシナリオは公開されていませんが、名前解決を担うDNSサービスと認証セキュリティを担うPKIサービスが攻撃を受け、企業、政府、医療、決済のシステムがそれぞれ同時に被害を受けます。攻撃元のIPアドレスをブロックすることがトリガーとなって、マルウェアがシステムに不具合を発生させるなど、実際に発生している攻撃手法を用いた高度な攻撃が展開されます。そしてこの攻撃に対応するには個社を超えて、政府機関等との連携が必須となるシナリオです。

演習の進め方については、各組織に必ずコントローラーが任命され、システムや資料類の最終確認や状況付与など、演習の運営を担います。
コントローラーは、Eメールと電話を使い、1,000個以上の状況付与を実施しています。参加者は、状況付与へ対応している最中に、別の状況付与を受け、そちらの対応も必要になるという形式です。

また、演習用のウェブサイトが用意されており、演習参加者は演習用に用意されたニュースサイトやソーシャルメディアや攻撃者のサイト、ブログなどを見ることができます。演習計画チームは、演習中、これらの模擬サイトをリアルタイムで更新していきます。
演習の進捗確認、とりまとめ、参加者からの質問等への対応のため、全コントローラーは一日に二度、全てのコントローラーと電話会議を開催します。

 

NCIRP(国家サイバーインシデント対応計画)に基づく対応の検証

 米国では、サイバー攻撃による国家レベルの危機が発生した際の対応をNCIRP:National Cyber Incident Response Planとしてまとめています。これは、災害対応を取りまとめた災害対策基本計画(National Response Framework:NRF)のサイバー攻撃対応版であり、サイバー攻撃の官民が連携した情報集約プラットフォームであるNCCIC:the National Cybersecurity & Communications Integration Center(全米サイバーセキュリティ・通信統合センター)の構築を行っており、今回のCyber Storm Vもこの情報共有プラットフォームを活用しての情報共有、関係機関の役割分担の検証を実施しています。

2273_ext_05_6.jpg

図2:米国における国家レベルの対応戦略(出典:DHS)

抽出された課題・考察と今後の改善事項

演習後(3/11)の振り返りでは、演習計画チームはシナリオのレビュー、参加者は、演習の結果や気付きなど話し合いを実施。結果として、以下のような考察と改善事項が洗い出されています。

参加者のフィードバックからの課題・考察
  • 情報共有の方法、タイミング、責任の所在について課題が見つかった
  • サイバーセキュリティに関する情報を集約するためのNCCIC:the National Cybersecurity & Communications Integration Center(全米サイバーセキュリティ・通信統合センター)を利用した情報共有について理解が深まった
  • NCCICとDHS、US-CERTの情報を検討して報告する機会が増えた
  • 初めてCyber Stormの演習に参加したが、医療と小売セクターは、連携することで対応効率が向上する
総括
  • Cyber Storm Vは、サイバー攻撃による国家レベルの危機への対応能力の検証を演習のゴール・目的として実施
  • 目的を達成するために官民の連携が必須となるシナリオを設定
  • DHSと参加組織が準備段階から密接に連携して演習のゴール・目的を設定
  • 国・州・業界・個社レベルで、それぞれ重要な課題や改善点を抽出
  • 今後抽出された課題や改善点に取組むことで組織レベルでサイバー攻撃への対応能力の強化が可能

 

 

まとめ

Webサイトやブログ、メール、状況付与カードなど様々な形式で約1,000の状況付与をしたことから、参加者は、膨大な情報から真に重要なものを見分けるトレーニングにもなったと思われます。そのうえで官民連携を促すというシナリオでしたので、どの時点でどの組織に共有するのか、参加者は実践に即した検証ができたでしょう。サイバー攻撃による国家レベルの危機対応については、我が国でも実施されていますが、18カ月という準備期間と当事者を要所要所で巻き込む進め方については、参考になる部分も多いです。

その分、準備は大変でしょうが、偽造Webサイトを演習中に動的に変えるなどは、実践的で国内では事例が少なく、今後習熟度合が高まった組織については、Redチーム演習の一環として実施することも面白いと思います。

【参考文献】
Cyber Storm V: After Action Report
Informing Cyber Storm Ⅳ
Lessons from Cyber Storm V-Palo Alto Network Blog
JETRO/IPA New York:米国におけるサイバーセキュリティ政策の動向

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる