コラム/トピックス

意外と奥深い“サイバーセキュリティ・インシデント”の演習

[この記事を書いたサイバーセキュリティの専門家]

篠崎 泰斗
会社名
MS&ADシステムズ株式会社
所属名
サイバーセキュリティ推進部 セキュリティコンサルティンググループ
主任スペシャリスト
執筆者名
篠崎 泰斗 Taito Shinozaki

2025.1.27

本記事は、MS&ADインシュアランスグループのサイバーセキュリティを統括する部門より、インシデント対応態勢強靭化を目的とした演習のポイントを紹介するものです。

この記事の
流れ
  • サイバーセキュリティ・インシデント演習の必要性
  • サイバーセキュリティ・インシデントの演習の種類
  • 演習実施にあたっては規程の策定が必須
  • サイバーセキュリティ・インシデント演習の流れ
  • まとめ

サイバーセキュリティ・インシデント演習の必要性

昨今、サイバー攻撃の手法が高度化・巧妙化する中で、技術的な対策を実施していても、攻撃を完全に防御することは難しくなっています。独立行政法人 情報処理推進機構(IPA)が毎年出している情報セキュリティ10大脅威※1にて数年間1位となっている「ランサムウェアによる攻撃」では、PCやシステムの暗号化による業務の停止だけでなく、データ復旧や窃取された重要情報を公開するといった脅迫により、金銭を要求されるような事例が発生しています。

このようなサイバーセキュリティ・インシデントが発生した場合、身代金は払うのかといった経営判断や情報漏えいに伴うお客さまへのプレスリリースといった対応が必要となります。IT部門の担当者だけでは対応が難しいため、経営層を中心に業務部門や広報・人事といった部署も含めて、組織横断的な態勢構築が必要となります。またインシデント対応態勢の構築後も、異動や退職といったメンバー変更や新たなサイバー攻撃による対応内容の変化を考慮する必要があります。

こういった背景から、サイバーセキュリティ・インシデントの発生を想定した演習を実施し、定期的にサイバーセキュリティ態勢を確認することが求められています。

サイバーセキュリティ・インシデントの演習の種類

演習には、大きく分けて自社開催と外部団体主催のものがあります。まずは自社でやってみることをおすすめします。

取り組み 目的と概要
【自社開催】
サイバーセキュリティ
事案対応演習
インシデントの発生から経営層を含む緊急対策本部の設置などの一連の対応について、
サイバーセキュリティ規程に基づいた各部署の役割に即した対応ができる確認をするために
机上演習を実施
【外部団体主催】
サイバーセキュリティ演習
演習を通じて自社の対応能力を検証し、
主催団体からのフィードバックや参加企業との情報交換等により、
自社の対応内容の改善につなげることを目的に外部演習に参加。
それぞれの概要は以下の通り。

■Delta Wall(主催:金融庁)
金融業界全体のインシデント対応能力の更なる向上を図ることを目的に、
インシデント発生時における技術的対応を含めた攻撃内容の調査等、
初動対応、顧客対応、復旧対応等の業務継続を確認する演習。

■分野横断的演習(主催:NISC)
分野横断的な情報共有体制の実効性の検証および
課題抽出による障害対応体制を強化することを目的に行われる演習。

■FIRE演習(主催:金融ISAC)
実際のサイバー攻撃を想定したシナリオに基づいて対応を訓練し、
参加金融機関同士で課題を共有する場として開催される金融機関向けの演習。

当社グループでは、役職員の階層ごと、あるいは横串しを刺した以下の取組を実施しています。

演習実施にあたっては規程の策定が必須

演習では規程やマニュアル、ガイドラインに基づいた対応を正解と位置付け、参加者がこれらに沿った対応ができるかをチェックします。

当社グループの規程には有事・準有事・平時という3つの事態において、必要な体制や実施事項を定めています。 平時の際には、サイバー攻撃に備え、多層的な検知・防御の仕組みといった技術的対策やゼロトラストの考え方を記載し、その上で、社員への教育・訓練・演習といった人的対策を定義しています。

準有事・有事の際には、インシデントの検知・調査・拡大防止対応・報告・再発防止策といった各フェーズでの関係部署の役割や緊急対策本部の設置、社内外の報告先などを定義しています。

演習を経て、規程やマニュアル、ガイドラインの「使いづらさ」や「抜け・漏れ」に気付くこともあります。演習を通じた規程やマニュアル、ガイドラインのブラッシュアップを行うことでより実効性の高いインシデント対応態勢への進化が期待されます。

また、演習を繰り返し実施することで参加者の規程やマニュアル、ガイドラインの理解度・習熟度が高まったら、規程の「狭間」「判断が困難」なシナリオを企画し、参加者のしなやかな危機管理能力の醸成を目的とすることもあります。

サイバーセキュリティ・インシデント演習の流れ

サイバーセキュリティ・インシデント発生を想定した演習の流れは、計画・準備・演習・振り返りとなります。

・計画

演習の目的、実施形式、シナリオ策定を整理し、演習計画を立てます。
目的と実施形式は、参加者におけるインシデント対応の経験値や習熟度に応じて決めます。
当社グループが行う演習シナリオについては、脅威動向を反映し、毎年見直しを行っています。自社に発生し得る脅威を分析して企画するのが望ましいですが、難しければ、巷で流行しているウイルスの感染や他社で発生したインシデントを参考にしたシナリオにすると、参加者は自分事と捉えやすくなり演習での活発な議論が期待できます。

・準備

演習実施に向けて、参加者への説明や日程調整、当日の演習資料作成や会場レイアウト検討などを行います。
また、演習結果を客観的な目線で見るために、外部講評者の参加を調整する場合もあります。参加者には演習当日までに規程や手順書を確認いただき、インシデント発生時に各部署の役割として、どういった対応をすべきかを再認識してもらうことが重要になります。

・演習

ファシリテーターが演習シナリオに基づき起こった事を「状況」として、参加者に付与し、付与された状況の内容を確認・分析し、参加者の役割に応じて必要な対策を議論しながら、組織として取るべき対応を机上で実施する状況付与型の演習を行っています。

・振り返り

演習で得た気づきや外部講評者からの講評を元に、課題を抽出し、規程・手順書の見直しや次年度以降の演習の高度化を検討します。

<状況付与のイメージ>

まとめ

サイバーセキュリティ・インシデント発生に備えた態勢構築や社内外向けの報告・連携先の整理、定期的な演習など、平時から準備することが重要です。

IT部門の方々は、日々、演習に限らず、様々な難しいサイバーセキュリティ対策を推進していると思います。一方で、営業部門や業務部門、企画部門の役職員にセキュリティ対策について理解を持っていただいているでしょうか?サイバーセキュリティ・インシデント演習の発生部署として参加してもらい、演習参加を通じてサイバー攻撃の怖さを実感し、部門間のコミュニケーションや連携がよくなることが多々あります。さらに、演習後の振り返りで専門家からの講評や研修も追加することで、演習参加者のより深い理解が期待できます。

事前の準備が大変ですが、サイバーセキュリティの仲間を増やす効果もあるため、是非、幅広い部署を巻き込んで演習をやってみてはいかがでしょうか?

【参考】
1)IPA 情報セキュリティ10大脅威:https://www.ipa.go.jp/security/10threats/10threats2024.html

会員登録でリスクマネジメントがさらに加速

会員だけが見られるリスクの最新情報や専門家のナレッジが盛りだくさん。
もう一つ上のリスクマネジメントを目指す方の強い味方になります。

  • 関心に合った最新情報がメールで届く!

  • 専門家によるレポートをダウンロードし放題!

  • お気に入りに登録していつでも見返せる。