コラム

海外事例に学ぶサイバー演習手法その①-Quantum Dawn

2017年02月01日

プリンシパルコンサルタント

内海 良

プリンシパルコンサルタント 内海 良

今、サイバー演習に取り組む企業が増えています。 これは一重に近年のサイバー攻撃が高度化・複雑化し、完全に防ぐということが困難になってきている背景があります。昨今では多層防御が叫ばれ、ファイアウォールやアンチウィルスに加えて、サンドボックス、WAF、SOC、SIEMなど、様々なテクノロジーを組み合わせた「防御」策の必要性がうたわれています。しかし、それでも高度化・巧妙化したサイバー攻撃が防御網をすり抜け事件化したケースは多々あります。

完璧に防ぐという防御のみに力点を置く形から、防ぐことはできないという認識に立ち、いかに攻撃を検知し、迅速に被害拡大に取り組むか。このような考え方が防御と等しく重要という認識が広まりつつあり、その検証には何よりも演習が効果的なのです。
 

海外のサイバー演習事例

国内でも内閣サイバーセキュリティセンター(NISC)や金融ISAC、ICT-ISACを中心に様々なサイバー演習に取り組んでいますが、海外ではかなり以前から大々的に取り組んでいます。特に海外の金融機関では、業界全体という大規模で取り組むようなサイバー演習事例が数多くあります。

 
【海外のサイバー演習事例】
年度 演習名 開催国・地域 備考
2011 Waking SharkⅠ 英国 金融
2011 Quantum DawnⅠ 米国 金融
2011 Raffles3 シンガポール 金融
2012 Dear Chairman exercise1 英国 金融
2012 CAPP exercise 米国 金融
2013 Waking SharkⅡ 英国 金融
2013 Quantum DawnⅡ 米国 金融
2014 Raffles4 シンガポール 金融
2014 Resilient Shield 英国/米国 金融
2014 Dear Chairman exercise2 英国 金融
2014 CAPP exercise 米国 金融
2015 Quantum DawnⅢ 米国 金融
2015 WISE 香港 金融
2016 Cyber Star シンガポール 複数業種
2016 DHS Cyber Storm5 米国 複数業種
2016 ENISA Cyber Europe2016 EU IT業界を中心に複数業種

金融庁が2015年に発表した「金融分野におけるサイバーセキュリティ強化に向けた5つの方針」では、海外の演習事例を参考にすると明記しており、その手法や実施内容は大いに民間企業でも参考になるものです。そこで今回は米国の金融機関を中心に実施されたQuantum DawnⅢを紹介します。
 

Quantum Dawnの概要

Quantum Dawnという名を冠した演習は、2011、2013年、2015年と過去3回、2年おきに実施されています。初回のQuantum DawnⅠでは約25の金融機関や関係組織が参加する規模で米国の株式市場がサイバー攻撃により混乱することを想定し実施されました。2回目のQuantum DawnⅡでは、ほぼ倍の規模となり約50の金融機関と関係組織が参加し、サイバー攻撃により米国の株式市場が混乱する想定で実施しています。参加企業は自オフィスから参加する形となり、自組織内の対応手順の検証と関係機関との連携について主眼をおいて開催されました。

そして一番最近に実施されたのがQuantum DawnⅢです。

Quantum DawnⅢの全容

Quantum Dawn 3は2015年の9月に、米国の金融機関を中心に、約650名、約80の金融機関が参加する形で実施されました。規模は開催回数を重ねるたびに大きくなっています。
 
演習の目的は、2回目同様、金融業界のサイバー攻撃に対する迅速な対応とその改善であり、演習シナリオは、個別企業における複数のサイバー攻撃に対する対応手順、そして組織的かつ大規模なサイバー攻撃を受けた場合の、公共・金融業界全体のコミュニケーション、情報共有、影響判断、意思決定について検証する形となっています。
 
【Quantum DawnⅢ演習計画】
範囲 参加者 金融機関(約80機関)、アメリカ国土安全保障省、アメリカ財務省、FBI、FS-ISAC、ノーウィック大学研究所(NUARI)
総勢650名
時間 実施時間:1日
演習上の仮想時間:3日間
システム トレーディングシステム等
目的 個別企業と金融業界全体の迅速な対応手順の検証
 
合否を判定するものではなく、参加者に企業と外部組織との連携確認等の機会を与えることに主眼を置く
方法 机上演習
参加者は自オフィスより参加する形式
※実稼働システムへの攻撃はせず取引には影響しない
 
演習参加者は以下のツールを用い、情報共有・報告等を行う
  • DECIDEFS※
  • 電話
  • Eメール
  • 米国の金融ISACであるFS-ISACのポータル
※NUARIが開発した演習用に開発されたサイバー演習用アプリケーション
【シナリオ】
具体的な演習シナリオは以下の通りとなっています。DNSへのキャッシュポイズニングにより利用ユーザがログイン情報や口座情報を詐取される被害が発生。反抗組織から金額を払わなければDDoS攻撃をしかけるとの脅迫も発生。企業として対応を迫られます。そんななか内部犯行者から個人情報の漏洩が発生し、システムがマルウェアに感染。最終的に業界全体の決済処理に大きな影響が発生するというものです。

【演習シナリオの主な流れ】
 
DNSへの攻撃
  • 企業のウェブサイトへのアクセスが偽装サイトへリダイレクトされる
  • この期間にウェブサイトへのアクセスを試みた顧客は、ログイン情報が盗まれ、マルウェアが仕込まれた可能性もあり
DDoS攻撃
  • 攻撃者からDDoS攻撃予告あり。2時間以内にビットコインで金を払わないとDDoS攻撃を仕掛けるとのこと
  • 2時間後、攻撃者から小規模かつ短時間のDDoS攻撃を受け、一部顧客がウェブサイトにアクセスできないなどの問題が発生
  • 犯行集団は、さらに強力かつ長時間の攻撃をする用意があると主張。改めて多額の金の支払いを要求
内部からの情報漏洩
  • 内部の人間が、脆弱性を悪用して主要顧客の口座情報への不正アクセス。顧客情報を晒し、ビットコインによる販売を開始
  • FBIから連絡あり。明確な情報漏えい事件であり、パッチをすぐに適用することが必要とのこと。また、すぐにパッチを適用すれば、その他の企業はこの脆弱性による不正アクセスは未然に防ぐことが可能
システム利用不可
  • 主要決済機関との接続ができない状態が発生。内部犯行者がルータ設定を変更し、企業と取引所との決済処理を中断させる
決済システムへの不正アクセス
  • 内部犯行者は、取引が失敗するよう決済システムに取引終了後に起動するマルウェアを侵入させる。夕刻時点で伝送されたデータは全て正常
  • その後マルウェアが起動し、80-90%に及ぶ大規模な決済処理エラーを引き起こす
  • メディアは大規模トラブルについて報道を開始
 
結果として、個別企業、業界それぞれについて、以下のような改善事項が洗い出されています。
 
【発見された課題と今後の改善事項】
個別企業の備え   サイバー攻撃を受けている間の対応能力
  • 危機が発生している状況での対応、復旧、意思決定に経営層の関与を深める。迅速な対応・復旧の戦略を維持するために、企業は情報セキュリティ、テクノロジー、業務プロセス、そして統合的インシデント対応チームを編成すべき
  • 様々な種類の攻撃や脅威に対応した、シナリオベースの対応計画を充実させる  
金融業界の備え 市場に渡ったコミュニケーション、監視、意思決定
  • 危機の迅速な検知や対応に向け、さらにマーケット機能の強化をはかる
  • 市場全体に影響するイベントに備え、追加の対応計画を作成する。
 
個別企業と公共機関(監督官庁、警察など)との連携
  • 政府機関とのコミュニケーションを強化する
  • 金融業界を支援するための行政側のリソースと能力について課題意識を醸成する
  • 脅威や脆弱性、対応手法などサイバー攻撃に関するデータを共有できるよう、情報共有の基準と手順の作成を推進する
  • 民間組織と行政機関との連絡・報告する基準と閾値を設定する

まとめ

回を重ねる毎に参加機関も増え、シナリオも高度化している。Quantum DawnⅢでは、複数のサイバー空間からの攻撃に加え、脅迫行為に対する企業組織の明確な回答を短時間出ださなければならない状況、そして内部犯行による業界全体の混乱と、非常に高度なシナリオを設計しています。とりわけ内部犯行は過去とりあげていない攻撃と思われます。現在、攻撃側も高度化・巧妙化していますが、守る側も様々な対応策を講じている昨今、今後は物理的な攻撃とサイバー攻撃が連動してなされることが想定されます。そのほうが攻撃者にとって効率よく目的を達成できるからです。
 
改善事項では一見当然と思われる気付きが記載されていますが、参加者にとってはそれが大きな実感を伴っているはずです。演習の効果はここであり、参加者が同じ目線で共通認識を持ち、今後の改善に向けたイメージも手っ取り早く共有できます。
 
サイバー演習が有効であるポイントはここにあるといっていいでしょう。
 

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる