連載
» 2016年10月26日 10時00分 公開

実践的サイバー防御演習「CYDER」って何?5分で分かる最新キーワード解説(1/3 ページ)

組織内LANへのマルウェア侵入を想定した実践的サイバー防衛演習「CYDER」。組織内CSIRT担当者を養成する訓練の全容とは?

[土肥正弘,ドキュメント工房]

 大規模な組織内ネットワークにマルウェアが侵入した時、どうやってそれを検出するのか、そしてどのように被害状況を把握し、対処するのか、外部や所轄官庁への報告はどのタイミングでどう行うのか。

 こうした手順が明確でなければ被害の拡大とサービスへの影響が避けられず、情報漏えいにつながり社会からの指弾を浴びる。多くの企業システムが対応に悩む中、主に中央官庁や自治体を対象とした、国が主導するサイバー攻撃防御のための演習が、2016年から本格的に始まった。

 今回のテーマは「実践的サイバー防御演習CYDER」だ。世界でもほとんど類を見ない実践的演習とはどんなものか。

「CYDER」とは

 CYDERは、実践的サイバー防御演習(CYber Defense Exercise with Recurrence)の略称だ。2013年に初めて実施された官公庁を対象とするサイバー攻撃演習で、これまで総務省が情報通信研究機構(NICT)から大規模な計算機環境の提供を受けて試行的に実施してきた。

 取り組みの規模を大幅拡大するとともに、安定的、継続的な国家プロジェクトとして本格化するために、情報通信研究機構法が改正され(2016年4月成立、5月施行)、NICTが自ら演習の開発と実施を担うことになった。

 当面の対象は国の行政機関および地方自治体が中心で、2016年11月までに30回の演習が実施される。その後も継続的に実施される予定で、将来的には一般の民間企業への演習の提供の可能性もある。

 CYDERの実質的な目的を一言で言えば「組織内CSIRT担当者を養成するための訓練」だ。組織内CSIRTは、組織のシステムが攻撃された時にインシデントに効果的な対応を行うと同時に、仮に被害が生じていたとしてもその拡大を防ぎ、被害を最小限にとどめるためのコントロールを行うチームのことだ。

 また、CSIRTは将来の攻撃に備えて情報収集し、被害予防対策を施す役割も負う。現在、民間では大企業を中心にCSIRT編成が一般化しつつあるが、まだ一部にとどまる。自治体でも未整備な場合が多く、またチームとは名ばかりで担当者は1人というケースも少なくない。

 しかし、CSIRTの役割を果たす人材がたとえ1人であろうと、いるのといないのとでは、いったん攻撃を受けた後の被害の大きさに格段の差が出ることは間違いない。実際のインシデントの分析や対応は専門業者に委託するとしても、自組織内で何かがあった時の対応の判断(インシデントのハンドリングと管理)に時間がかかってしまっては、被害をいたずらに拡大させてしまう。

 CYDERは、CSIRT担当者養成を正面からうたうわけではないが、目的は組織内のインシデント対応能力の強化であり、実質的にはCSIRT構築や最適化への一歩となるものといえる。

どんな演習をするのか?

 CYDERは「実践的」というだけあって、実際の大規模な組織内LANにマルウェアが侵入したという想定で、現実のLANを模倣したシステムリソースを利用する。例えば、日本年金機構の情報漏えい事件のような現実的な攻撃を疑似的に発生させ、演習受講者が攻撃を発見し、対応をエスカレーションするプロセスを演習用のPCやネットワーク監視ツール、ログ解析ツール、現実の報告書フォーマットなどを用いながら体験する。

 標的型メールを用いた攻撃、あるいは改ざんしたWebサイトにマルウェア感染の仕組みを仕込む「水飲み場攻撃」の実例をベースにしたシナリオで実施される。

CYDERの演習風景 図1 CYDERの演習風景

 演習は1日半をかけて行われ、1日目の午前中には座学で攻撃事例や標的型攻撃への対策、インシデントハンドリングの心得などを学び、午後には3〜4人でチームを構成し、演習環境を利用して監視、分析業務、インシデントハンドリング、報告書作成といった一連の対応を体験する。翌日の午前中には、演習結果の報告書の発表や質疑応答、講師による講評、実機による確認などのグループワークが行われる。

 演習は、受講者自身が考え対応を実行することに重点が置かれ、チームを担当するチューターがそれを見守り、適時にアドバイスを行う。他人が行う手順を見ているだけの研修とは違い、自分自身が主体的に行動することで理解を深めることを狙う。

 実際にどのような環境で、どのような攻撃が行われる想定なのかは、受講するまで分からない。あらかじめ攻撃手法が分かっているサイバー攻撃など存在しないからだ。システムに何が起きているかに気付き、柔軟に対応することが肝心だ。従って、演習内容の詳細は公表されないが、題材や条件はともあれ、次のような項目が演習の対象になる。

CYDERで体験できる対応項目 表1 CYDERで体験できる対応項目

 演習そのものは4時間というごく限られた時間だが、CSIRTの役割のうちインシデントハンドリングに含まれるプロセスについて一通り体験できるように構成される。

 また、演習内容と演習環境は、地方自治体向けと国の行政機関向けとでシナリオが違い、双方とも実際の環境に似せた模擬環境で攻撃への対応体験ができる。自治体向けシナリオは情報系システムとマイナンバー運用系などの業務種別も考慮したシナリオで、国の機関向けシナリオはそれよりも一般的な内容になる。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。