コラム

海外事例に学ぶサイバー演習手法その②-Waking Shark

2017年02月24日

プリンシパルコンサルタント

内海 良

プリンシパルコンサルタント 内海 良

近年のサイバー攻撃が高度化・複雑化し、完全に防ぐという防御から、侵入された際の検知、被害軽減が重要視されてきています。そして、その検証にはサイバー演習が効果的です。
 
海外では以下のとおり様々なサイバー演習が実施されています。
 
その中から前回は米国の大規模サイバー演習Quantum Dawnを取り上げました。今回は英国で実施されたサイバー演習Waking Sharkについて、その目的や規模、具体的なシナリオなどをご紹介します。Waking Sharkはそのなかでも初期に実施されたものといっていいいでしょう。主な海外のサイバー演習事例は以下のとおりです。近年のサイバー攻撃が高度化・複雑化し、完全に防ぐという防御から、侵入された際の検知、被害軽減が重要視されてきています。そして、その検証にはサイバー演習が効果的です。
 
海外では以下のとおり様々なサイバー演習が実施されています。
 
その中から前回は米国の大規模サイバー演習Quantum Dawnを取り上げました。今回は英国で実施されたサイバー演習Waking Sharkについて、その目的や規模、具体的なシナリオなどをご紹介します。Waking Sharkはそのなかでも初期に実施されたものといっていいいでしょう。主な海外のサイバー演習事例は以下のとおりです。

【海外のサイバー演習事例】
年度 演習名 開催国・地域 備考
2011 Waking SharkⅠ 英国 金融
2011 Quantum DawnⅠ 米国 金融
2011 Raffles3 シンガポール 金融
2012 Dear Chairman exercise1 英国 金融
2012 CAPP exercise 米国 金融
2013 Waking SharkⅡ 英国 金融
2013 Quantum DawnⅡ 米国 金融
2014 Raffles4 シンガポール 金融
2014 Resilient Shield 英国/米国 金融
2014 Dear Chairman exercise2 英国 金融
2014 CAPP exercise 米国 金融
2015 Quantum DawnⅢ 米国 金融
2015 WISE 香港 金融
2016 Cyber Star シンガポール 複数業種
2016 DHS Cyber Storm5 米国 複数業種
2016 ENISA Cyber Europe2016 EU IT業界を中心に複数業種

Waking Sharkの概要

Waking Sharkは、過去2回、2011年と2013年に実施されています。2011年のWaking SharkⅠでは、金融機関のITシステムに対して急増・巧妙化するサイバー攻撃を想定し、英国金融庁FSAの主導のもと、約33の金融機関と関係組織が参加、約100名の規模で実施されました。
 
Waking Shark Ⅱは初回よりも大きな改善が見られます。まず参加組織が拡大し、政府機関も参加しています。また演習のなかでメディア対応が盛り込まれ、情報共有ツール CISP(Cyber-Security Information Sharing Partnership)をリアルタイムで活用するなど、よりダイナミックな組織間のやりとりが発生する形式になっており、質、量ともに充実しています。
 

Waking SharkⅡの全容

Waking SharkⅡは、2013年11月12日、英国の金融機関を中心に、約220名、約22の英国の金融機関が参加する形で実施されました。その範囲や目的、実施方法は以下の通りです。
 
 
【検討体制】
検討体制は、クレディ・スイスとイングランド銀行が推進する形で、プランニングとファシリテーションを担うチーム、具体的なシナリオを作成するチーム、そしてシナリオを検証する複数チームの体制で実施されました。
 
【Waking SharkⅡ演習計画】
範囲 参加者 【組織】
銀行(14)、金融市場インフラプロバイダー(6)、健全性規制機構:PRA、イングランド銀行、金融行為監督機構:FCA、その他政府機関など
※カッコは参加組織数
 
【役職】
業務担当者:COOなどの意思決定者、決済業務などの担当者
レジリエンス、危機管理担当:BCP担当、など
技術・セキュリティ担当:CISO、CTO、情報共有ツールCISPユーザ、など
 
総勢220名 
時間 実施時間:約5時間
演習上の仮想時間:3日間
目的 WSⅠの結果を踏まえた対応ができるか、業界内の連携、サイバー攻撃が起こった際の対応役割の明確化、情報共有ツールCISPの利便性向上、警察・監督官等の関与の検証です。
 
  1. Waking SharkⅠでの以下のフィードバックや教訓の改善状況を評価する
  • 業界間での連携体制を明確に効率化
  • 業界を超えたCSIRTUK等のIT・セキュリティ分野との連携体制の構築
  • 金融当局やCPNI(※1)、CSOC(※2)、SOCA(※3)等、公的機関の役割の明確化
  1. 企業間、企業と監督官庁間投、情報連携フローの検証を行う
  2. サイバー攻撃のインパクトと金融業界全体の対応について理解を深める
方法 机上演習

【当日の運営スケジュール】

半日のスケジュールのなかで2つのフェーズ、状況付与4回という形で実施しています。






CMBCG:企業間業務継続グループ
 

【演習シナリオ】

敵対する国家から英国の金融機関、主に大口顧客向けの市場とサポートインフラに向けてサイバー攻撃が行われるというものです(攻撃による英国外への影響も考えられますが、演習では英国内のみの影響を考慮しています)。

具体的には、ますDDoS攻撃によりウェブサイト等のダウン、マルウェア感染によりBIOSエラーやディスクの消去や書き換えが発生。その結果、株価の終値や決算手続き等に不具合が生じます。またメディアに大々的に取り上げられ、対外的な対応も必要となる、というものです。

※株式先物取引、株価指数オプション取引、個別株オプション取引の取引期限満了日

DDoS攻撃
  • 銀行のWebサイトとFTPサーバにDDoS攻撃が発生。ウェブサーバのセッションに負荷をかけリソースが枯渇
  • 顧客向けポータルサイトとウェブサイトの全サービスに影響が波及、システムダウンもしくは断続的に接続不可状態が発生。FTPサーバへも影響
  • 技術チームが対策をとっても対処できず
APT攻撃
  • あるコンピュータゲーム会社にて、マルウェアに感染、C2Cサーバとしてコントロールされる事象が発生
  • そのサーバと通信しているIPアドレスに自行のものが含まれていることが判明
PCデータ
消去
  • WindowsベースのPCにてブルースクリーンが多発。ウィンドウズの脆弱性をついたマルウェアと判明。自動的にディスクの中身は消去・上書きされる
  • パッチは3か月前に利用可能だったが未導入。マルウェアはすでに自行の約10%に感染
上記演習計画、演習シナリオで実施した結果として、以下のような考察と改善事項が洗い出されています。

 
【発見された課題・考察と今後の改善事項】
参加者のフィードバックからの課題・考察
  • CISPプラットフォームの利用には大きな改善が見られたが、未だ技術的な改善が多々必要である
  • 金融市場インフラプロバイダーと企業の連携はスムーズに実施された。しかし、金融機関同士の情報共有と連携内容を公的に発信する中心的な体制がない為、英国銀行協会などがその体制を担うべき
  • 金融機関と監督官庁との連携について、どのような内容をどのタイミングで連携すればよいか不明確だという参加者からの意見が多数
  • CMBCG(企業間業務継続)グループについて、もっと早い段階でグループが作られるべきだったとの意見あり。グループが結成された時点では議論すべき問題は既になく、情報共有以外にすることがほぼなかった、というものがあった
  • サイバー攻撃が業務に与える影響を顧客に理解してもらうことの難しさを認識
全体としての課題と提案
  • 金融機関の連携
    • 業界内の一組織が機関内の連携を担うようにする
  • 監督官庁の関与
    • 企業は、重大なインシデントが起こった際に、なるべく早く監督官庁へ報告しなければならないことを理解しておく
    • PRAやFCA等は、都度状況の共有やインシデント報告の要件について周知する
    • 監督官庁は、サイバー攻撃が起こった際の監督官庁自身の役割・政府機関の役割・金融機関の役割を明確にし、企業が重大インシデントの報告を速やかに行うことの重要性を浸透させる
  • CISPプラットフォーム
    • 今後も継続的に金融機関と政府間の連携に活用し、向上を図る
  • 警察の関与
    • 攻撃の種類によっては犯罪となることもあるので、各組織は警察を含む適切な機構への通報が必要となることを理解しておく

まとめ

英国のサイバー演習Waking Sharkも回を重ねる毎に参加人数も増え、シナリオも高度化しています。高度Waking SharkⅡにおいては、1)前回の演習で発見された教訓の検証、2)新たな検証ポイントの設定、この2つが演習シナリオのベースとなっています。1)については様々な組織の連携の確認、2)については、内部ブロガーによる告発、そのことによるマスメディア報道と対応です。

また、他の演習には見られない工夫としては、シナリオを20分という短時間に区切り、その後、電子投票という形で確認ポイントを参加組織に質問、アンケートを取る、すぐに参加者の回答内容を集約し、判断や対応に苦慮したポイントが共有できる、という点があげられます。シナリオもかなり具体的に作り込まれています。また、実際普段から利用しえいる情報共有ツールCISPを演習で活用している点も実効性に寄与すると考えれます。CISPは日本でいえば金融ISACのポータルサイトや全国銀行や日本証券業協会が提供する情報共有するツールとなるでしょう。

見習うべき点は演習シナリオの詳細や電子投票という工夫など多々ありますが、その根底にある検証→改善点の発見→再検証というPDCAサイクルといえるでしょう。
 

小冊子プレゼント

リスクマネジメントにかかわる小冊子PDFを無料でダウンロードいただけます。

情熱コンサルタント宣言

私たちは「本当にお客様の役に立ちたい!」という熱い心を持ったコンサルタント集団です。真の意味でお客様の礎となる支援をいたします。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる