海外事例に学ぶサイバー演習手法その①-Quantum Dawn
掲載:2017年02月01日
執筆者:執行役員 兼 プリンシパルコンサルタント 内海 良
コラム
今、サイバー演習に取り組む企業が増えています。 これは一重に近年のサイバー攻撃が高度化・複雑化し、完全に防ぐということが困難になってきている背景があります。昨今では多層防御が叫ばれ、ファイアウォールやアンチウィルスに加えて、サンドボックス、WAF、SOC、SIEMなど、様々なテクノロジーを組み合わせた「防御」策の必要性がうたわれています。しかし、それでも高度化・巧妙化したサイバー攻撃が防御網をすり抜け事件化したケースは多々あります。
完璧に防ぐという防御のみに力点を置く形から、防ぐことはできないという認識に立ち、いかに攻撃を検知し、迅速に被害拡大に取り組むか。このような考え方が防御と等しく重要という認識が広まりつつあり、その検証には何よりも演習が効果的なのです。
海外のサイバー演習事例
国内でも内閣サイバーセキュリティセンター(NISC)や金融ISAC、ICT-ISACを中心に様々なサイバー演習に取り組んでいますが、海外ではかなり以前から大々的に取り組んでいます。特に海外の金融機関では、業界全体という大規模で取り組むようなサイバー演習事例が数多くあります。
【海外のサイバー演習事例】
金融庁が2015年に発表した「金融分野におけるサイバーセキュリティ強化に向けた5つの方針」では、海外の演習事例を参考にすると明記しており、その手法や実施内容は大いに民間企業でも参考になるものです。そこで今回は米国の金融機関を中心に実施されたQuantum DawnⅢを紹介します。
| 年度 | 演習名 | 開催国・地域 | 備考 |
| 2011 | Waking SharkⅠ | 英国 | 金融 |
| 2011 | Quantum DawnⅠ | 米国 | 金融 |
| 2011 | Raffles3 | シンガポール | 金融 |
| 2012 | Dear Chairman exercise1 | 英国 | 金融 |
| 2012 | CAPP exercise | 米国 | 金融 |
| 2013 | Waking SharkⅡ | 英国 | 金融 |
| 2013 | Quantum DawnⅡ | 米国 | 金融 |
| 2014 | Raffles4 | シンガポール | 金融 |
| 2014 | Resilient Shield | 英国/米国 | 金融 |
| 2014 | Dear Chairman exercise2 | 英国 | 金融 |
| 2014 | CAPP exercise | 米国 | 金融 |
| 2015 | Quantum DawnⅢ | 米国 | 金融 |
| 2015 | WISE | 香港 | 金融 |
| 2016 | Cyber Star | シンガポール | 複数業種 |
| 2016 | DHS Cyber Storm5 | 米国 | 複数業種 |
| 2016 | ENISA Cyber Europe2016 | EU | IT業界を中心に複数業種 |
金融庁が2015年に発表した「金融分野におけるサイバーセキュリティ強化に向けた5つの方針」では、海外の演習事例を参考にすると明記しており、その手法や実施内容は大いに民間企業でも参考になるものです。そこで今回は米国の金融機関を中心に実施されたQuantum DawnⅢを紹介します。
Quantum Dawnの概要
Quantum Dawnという名を冠した演習は、2011、2013年、2015年と過去3回、2年おきに実施されています。初回のQuantum DawnⅠでは約25の金融機関や関係組織が参加する規模で米国の株式市場がサイバー攻撃により混乱することを想定し実施されました。2回目のQuantum DawnⅡでは、ほぼ倍の規模となり約50の金融機関と関係組織が参加し、サイバー攻撃により米国の株式市場が混乱する想定で実施しています。参加企業は自オフィスから参加する形となり、自組織内の対応手順の検証と関係機関との連携について主眼をおいて開催されました。
そして一番最近に実施されたのがQuantum DawnⅢです。
そして一番最近に実施されたのがQuantum DawnⅢです。
Quantum DawnⅢの全容
Quantum Dawn 3は2015年の9月に、米国の金融機関を中心に、約650名、約80の金融機関が参加する形で実施されました。規模は開催回数を重ねるたびに大きくなっています。
演習の目的は、2回目同様、金融業界のサイバー攻撃に対する迅速な対応とその改善であり、演習シナリオは、個別企業における複数のサイバー攻撃に対する対応手順、そして組織的かつ大規模なサイバー攻撃を受けた場合の、公共・金融業界全体のコミュニケーション、情報共有、影響判断、意思決定について検証する形となっています。
【Quantum DawnⅢ演習計画】
演習の目的は、2回目同様、金融業界のサイバー攻撃に対する迅速な対応とその改善であり、演習シナリオは、個別企業における複数のサイバー攻撃に対する対応手順、そして組織的かつ大規模なサイバー攻撃を受けた場合の、公共・金融業界全体のコミュニケーション、情報共有、影響判断、意思決定について検証する形となっています。
【Quantum DawnⅢ演習計画】
| 範囲 | 参加者 | 金融機関(約80機関)、アメリカ国土安全保障省、アメリカ財務省、FBI、FS-ISAC、ノーウィック大学研究所(NUARI) 総勢650名 |
| 時間 | 実施時間:1日 演習上の仮想時間:3日間 |
|
| システム | トレーディングシステム等 | |
| 目的 | 個別企業と金融業界全体の迅速な対応手順の検証 合否を判定するものではなく、参加者に企業と外部組織との連携確認等の機会を与えることに主眼を置く |
|
| 方法 | 机上演習 参加者は自オフィスより参加する形式 ※実稼働システムへの攻撃はせず取引には影響しない 演習参加者は以下のツールを用い、情報共有・報告等を行う
|
|
【シナリオ】
具体的な演習シナリオは以下の通りとなっています。DNSへのキャッシュポイズニングにより利用ユーザがログイン情報や口座情報を詐取される被害が発生。反抗組織から金額を払わなければDDoS攻撃をしかけるとの脅迫も発生。企業として対応を迫られます。そんななか内部犯行者から個人情報の漏洩が発生し、システムがマルウェアに感染。最終的に業界全体の決済処理に大きな影響が発生するというものです。
【演習シナリオの主な流れ】
結果として、個別企業、業界それぞれについて、以下のような改善事項が洗い出されています。
【発見された課題と今後の改善事項】
具体的な演習シナリオは以下の通りとなっています。DNSへのキャッシュポイズニングにより利用ユーザがログイン情報や口座情報を詐取される被害が発生。反抗組織から金額を払わなければDDoS攻撃をしかけるとの脅迫も発生。企業として対応を迫られます。そんななか内部犯行者から個人情報の漏洩が発生し、システムがマルウェアに感染。最終的に業界全体の決済処理に大きな影響が発生するというものです。
【演習シナリオの主な流れ】
| DNSへの攻撃 |
|
| DDoS攻撃 |
|
| 内部からの情報漏洩 |
|
| システム利用不可 |
|
| 決済システムへの不正アクセス |
|
結果として、個別企業、業界それぞれについて、以下のような改善事項が洗い出されています。
【発見された課題と今後の改善事項】
| 個別企業の備え | サイバー攻撃を受けている間の対応能力
|
| 金融業界の備え | 市場に渡ったコミュニケーション、監視、意思決定
個別企業と公共機関(監督官庁、警察など)との連携
|
まとめ
回を重ねる毎に参加機関も増え、シナリオも高度化しています。Quantum DawnⅢでは、複数のサイバー空間からの攻撃に加え、脅迫行為に対する企業組織の明確な回答を短時間出ださなければならない状況、そして内部犯行による業界全体の混乱と、非常に高度なシナリオを設計しています。とりわけ内部犯行は過去とりあげていない攻撃と思われます。現在、攻撃側も高度化・巧妙化していますが、守る側も様々な対応策を講じている昨今、今後は物理的な攻撃とサイバー攻撃が連動してなされることが想定されます。そのほうが攻撃者にとって効率よく目的を達成できるからです。
改善事項では一見当然と思われる気付きが記載されていますが、参加者にとってはそれが大きな実感を伴っているはずです。演習の効果はここであり、参加者が同じ目線で共通認識を持ち、今後の改善に向けたイメージも手っ取り早く共有できます。
サイバー演習が有効であるポイントはここにあるといっていいでしょう。
改善事項では一見当然と思われる気付きが記載されていますが、参加者にとってはそれが大きな実感を伴っているはずです。演習の効果はここであり、参加者が同じ目線で共通認識を持ち、今後の改善に向けたイメージも手っ取り早く共有できます。
サイバー演習が有効であるポイントはここにあるといっていいでしょう。
