セキュリティトレンドから見るサイバー攻撃対応訓練の必要性

インサイト
2023.03.28
  • セキュリティ
1303945183

企業・組織を狙ったサイバー攻撃手法は年々高度化しており、いつ攻撃を受けるか分からない状況と言える。サイバー攻撃を未然に防ぐことが難しい世の中において、攻撃を受けた際にいかに迅速に対応し、被害を最小限に抑えることができるか、つまり迅速なインシデントレスポンスが重要となっている。インシデントへの対応力を向上させるための施策としてサイバー攻撃対応訓練があるが、これは有事の際にどう行動するかを理解するのに非常に効果的である一方で、訓練成果を実感できない企業・組織も多い。
本インサイトでは、サイバー攻撃対応訓練の実施を検討している事業関係者に向けて、サイバー攻撃動向とあわせてサイバー攻撃対応訓練がなぜ必要なのか、成果を実感できる訓練にするポイントは何か、詳しく解説する。

サイバー攻撃動向

2023年1月、情報処理推進機構 (IPA) から「情報セキュリティ10大脅威2023」が発表された。当ランキングの組織編では、1位に「ランサムウェアによる攻撃」、2位に「サプライチェーンの弱点を悪用した攻撃」がランクインしており、これらの攻撃は社会的に影響が大きくなっていると言える。
実際の被害事例を見てみると、2022年10月に国内の医療業界においてサイバーインシデントが発生している(事例①)。医療機関の電子カルテシステムなどが稼働するサーバ複数台がランサムウェア攻撃を受け、システム障害が発生し、診療業務が停止した。インシデント発生から10日後に一部診療を再開したが、通常の診療体制に復旧するまでに要した期間は2か月にも及んだ。
また、それ以前にも2021年7月に国内の食品会社で大きなサイバーインシデントが発生している。当事例も同様にランサムウェア攻撃を受けた可能性が高く、財務管理や販売管理を行う基幹システムなど大部分のサーバが暗号化され、システム障害が発生した。バックアップを管理しているサーバも暗号化されたため復旧が難航し、決算報告の延長を余儀なくされた。基幹システムの復旧には3か月を要した。
いずれの事例もBCP(事業継続計画)が機能し、関係機関への連絡といった初動対応はスムーズに見受けられたが、特に事例①は準備していたBCPがサイバー攻撃を想定したBCPではなかったため、復旧に時間を要したものと考えられる。
他にも、製造業や自動車メーカーなどでも同様の攻撃を受け被害が発生しており、サイバー攻撃はどの業界でも起こりうるものと言える。日本シーサート協議会が実施した「メール訓練実施状況アンケート」によれば約8割の組織がメール訓練を実施しているとのことだが、メール訓練は不審メールへの対応力向上を目的とした訓練であり、有事の際に活用できるものとは言い難い。また近年は侵入型ランサムウェアが増加傾向にあり、メール訓練を実施するだけでは攻撃を防ぐことが難しい。そのため、実際のサイバー攻撃を想定した訓練を実施し、インシデントレスポンスの精度向上を図る必要があると言える。

防御策だけがセキュリティ対策ではなく、インシデントレスポンスも重要

セキュリティ対策というとアンチウイルスソフトやWAF(ウェブアプリケーションファイアウォール)などの防御策を想像する人が多いことと思うが、NIST CSF(サイバーセキュリティフレームワーク)に示されているように、セキュリティ対策は「識別」「防御」「検知」「対応」「復旧」の項目に分類され、防御策だけでないことがわかる。図1の通り、「識別」「防御」がいわゆる事前対策で、「検知」「対応」がインシデントレスポンス、「復旧」が事後対策となる。

図1 NIST CSF(サイバーセキュリティフレームワーク)

横にスクロールしてご確認ください

事前対策 インシデントレスポンス 事後対策
識別 (ID) 防御 (PR) 検知 (DE) 対応 (RS) 復旧 (RC)
  • 資産管理
  • ビジネス環境
  • ガバナンス
  • リスクアセスメント
  • リスクマネジメント戦略
  • サプライチェーンリスクマネジメント
  • 認証/アクセス制御
  • 意識向上およびトレーニング
  • データセキュリティ
  • 情報を保護するためのプロセス及び手順
  • 保守
  • 保護技術
  • 異常とイベント
  • セキュリティの継続的なモニタリング
  • 検知プロセス
  • 対応計画
  • コミュニケーション
  • 分析
  • 低減
  • コミュニケーション
  • 復旧計画
  • 改善
  • 改善

前章で取り上げた事例は、準備していたBCPにサイバー攻撃の観点が入っておらず、想定外の対応が発生したと考えられる。BCPとは、事業継続計画の名の通り業務が停止しないように継続させる計画のことであり、有事の際にまず何をするのか、どのようにシステムを復旧させるのか、どのくらいの時間で復旧させるのかなどを定めておくものである。
サイバー攻撃による被害を出さないためには、第一に攻撃を未然に防ぐ事前対策が重要である。しかしながら、ゼロデイ攻撃(脆弱性の発見から対策実行までの僅かな期間を狙ったサイバー攻撃)などにより完全に防ぐことはできないため、サイバー攻撃を受けた際にいかに被害を最小限にすることができるか、つまりインシデントレスポンスも重要となってくる。初動対応の遅れや対応ミスによって復旧作業の遅延や被害の拡大も考えられるため、しっかりと準備をしておく必要があると言える。

サイバー攻撃対応訓練の必要性と実施ポイント

インシデントレスポンスの準備として実施すべき事項は、以下の2つに分けられる。

  • インシデントレスポンス計画の策定

  • サイバー攻撃対応訓練の実施

① インシデントレスポンス計画の策定
自社・自組織はどのようなサイバー攻撃を受ける可能性があるか、想定シナリオを作成する必要がある。公開Webサイトの有無など、企業・組織を取り巻く環境によって想定される攻撃は多様にあるため、しっかりとリスク評価を行い、想定される攻撃シナリオを用意する。想定シナリオが複数ある場合は、リスクの高いものからインシデントレスポンス計画を策定するべきである。また、図2はインシデントレスポンス計画策定時に検討が漏れやすいポイントの一例であり、こちらも参考に策定いただきたい。

図2 インシデントレスポンス計画策定時のポイント例

  • 連絡系統を明確化する
    • 誰が、どのタイミングで、どのような手段で、誰に連絡するのか
    • 攻撃発覚時の時間帯(日中/夜間、平日/休日など)別による連絡手段が整備されているか
  • 報告内容を明確化する
    • 定量的な情報に基づいた報告ができるか
    • 報告テンプレートが用意されているか
  • 判断基準を明確化する
    • システム停止および再開基準は関係部署間で統一されているか
    • インシデント対策チームの立ち上げおよび解散基準が明文化されているか
    • 緊急措置として担当者レベルで判断可能な措置内容や条件が整理されているか など

②サイバー攻撃対応訓練の実施
インシデントレスポンス計画を策定するだけでは不十分である。策定した対応方法・手順は機能するのか、情報伝達ルートや内容に漏れはないかなどの確認が必要である。これらを確認するには、サイバー攻撃対応訓練を実施することが非常に効果的である。上述のインシデントレスポンス計画策定時のポイントを踏まえて計画を策定しても、訓練を実施することでさまざまな課題が洗い出されるため、対応方法・手順の精度向上につながる。図3にその一例をまとめている。

図3 サイバー攻撃対応訓練により洗い出される課題の例

  • 手順に漏れがあり、策定した対応方法・手順では復旧できない
  • 報告ルートが規程・ルールに従っておらず、伝えるべき人に伝わらない
  • 報告内容が整理されておらず、状況が正しく伝わらない
  • 手順が企業・組織内に浸透していないため、想定していた復旧時間内に作業が完了しない

 など

また、現実に近い環境を用意し、サイバー攻撃が起きた時のことを想定した訓練を繰り返し行うことで関与者の対応方法・手順の理解度が向上し、有事の際により迅速かつ確実な復旧が可能になる。ここで気を付けたい点としては、訓練の目的を忘れないことである。特に定期的に実施していると、いつの間にか訓練を実施することが目的となってしまい成果が出ない、といったことが考えられる。繰り返しになるが、訓練を実施する目的はインシデントレスポンス計画の精度向上や、どのタイミングで何をするかといった対応手順の理解度向上である。訓練を実施することが目的になってしまうと、訓練シナリオを最後までこなすことができれば良いと考えてしまい、対応手順の漏れに気づけない恐れや、その場限りの対応となり、対応手順が身につかず有事の際に対応が遅れたり、ミスが発生したりする恐れがある。
そのため、いかに自分事として捉え行動できる訓練を実施できるかがポイントとなる。

なお、サイバー攻撃対応訓練を実施する際には、「人・組織」「規範・法律」「プロセス」「テクノロジー」の4つの観点 (ABeam Security® Security Quadrant)で網羅的に訓練を行うことで、実施効果が大きくなる。具体的には、図4の観点をサイバー攻撃対応訓練に盛り込み、訓練中の行動評価の結果をフィードバックすることで、訓練目的と合致し、かつ自分事として捉えられる訓練となるだろう。

図4 訓練の実施効果を上げるための確認ポイント例

観点

確認すべき事項の例

Organization(人・組織)
  • 対応方法・手順は企業・組織内に十分浸透しているか
  • 報告などに係る各種役割や権限は明確になっているか など
Regulation(規範・法律)
  • 以下は企業・組織の規程やルールに従ったものになっているか
    • 対応方法・手順
    • 報告内容
    • 報告ルート など
Process(プロセス)
  • 策定した対応方法・手順に抜け漏れはないか
  • 策定した対応方法・手順通りに正しく実行されるか など
Technology(テクノロジー)
  • サイバー攻撃を検知するシステムが整備されているか
  • 報告が迅速に行えるシステムが整備されているか など

まとめ

サイバー攻撃対応訓練には、対応方法・手順の検証などを会議形式で行う訓練や、より実践的な形式で実機を用いて行う訓練など、さまざまな実施形式がある。まずは、自社・自組織のサイバー攻撃対応訓練計画策定状況や、企業・組織内における対応方法・手順の浸透状況を確認し、訓練の目的を明確にした上で、有事の際に迅速かつ確実に対応するための準備をする必要がある。すでに訓練を実施している企業・組織であれば、効果ある訓練になっているかを目的に立ち返り検討しなおすと良いだろう。
より高度なサイバー攻撃対応訓練を実施する場合や訓練成果に不安がある場合は、自社・自組織のみで実施することが難しいことも想定されるため、外部の支援サービス利用も検討しながら対応を進めることが望ましい。
アビームコンサルティングは、サイバー攻撃対応訓練を検討しているが実施できていない、または実施しているが成果を感じられていない企業・組織を対象に、サイバーセキュリティ分野において豊富な実績を持つコンサルタントが、企業・組織が持つサイバー攻撃対応訓練における課題の解消に向けた支援を行っている。

Contact

相談やお問い合わせはこちらへ