多様化と高度化が進むサイバー攻撃。一方でマルチクラウド化をはじめとするIT環境の変化、コロナ禍による在宅勤務の急速な普及もあり、それに伴い、新たなセキュリティーインシデントが増加し続け、その対応は重要かつこれまで以上に多岐にわたるものとなっています。
そのような状況のなか、日本IBMがサイバーセキュリティー・オペ―レーション体験ゲーム『TERMINAL』の日本版を9月1日にリリース。
本稿では、リリース直後の同ゲームをSBテクノロジーの辻 伸弘氏に実際に体験してもらいました。
なぜIBMはゲームを開発したのか、IBMがゲームに込めた意図とは何か、それをプレイヤーは体感できるのか、そもそもゲームの中身はどんなものなのか、そして試す価値とは――。
サイバーセキュリティーの最前線にいる辻氏だからこそ気づけた数々の視点にご注目ください!
IBMが米国で『TERMINAL』をリリースしたのは2020年5月。インシデント・レスポンスのトレーニングを多様に進化させていくためには、一方的ではなく相互的で、かつトレーニングを受ける人にとって印象に残るものが必要だという同社の考えのもと、まるで海外映画のはじまりのような音楽やデザインを採用し、ゲーム形式にて作られました。
開発の中心となったのは、IBMの「X-Force Command Center」。トレーニングのシナリオや対応策を考えることに長けた、さまざまなスキルを持つスタッフが所属しており、そのなかにはゲーミフィケーションを専門とするメンバーも含まれています。そういった環境があったからこそ、一般的なトレーニングツールでは対応が難しいような、人の感情に訴えかけ記憶に残るゲームを作ることができたといいます。
日本に持ってきた経緯について、担当者は同社のセキュリティーについて世の中に広く知ってもらいたかったと話します。
このゲームはあえてプレッシャーを感じるように作られています。有事の際は何が起こっているのかを素早く理解し、すべきことを瞬時に判断して行動に移す必要があります。そんなときには、インシデント対応チームだけではなくさまざまな部門とコミュニケーションを取り、対応しなければなりません。
TERMINALには[ACT1] 、[ACT2]、[ACT3]と3つのステージが用意され、ITアナリスト、マネージャー、エグゼクティブという異なる立場での対応を体験できるように作られています。ゲーム体験者は、マネジメント力や対外的なコミュニケーション力も試されることになるのです。
「100%」は対応できないインシデント・レスポンスをうまく表現
舞台は、ある国の国際空港です。
[ACT1]でのプレイヤーのミッションは、ITアナリストとして空港内で起こるサイバーインシデントを解決すること。スピード勝負のトラブルシューティングです。
TERMINALでは、メールに添付された給与明細を空港スタッフが開いてしまったことでサイバーインシデントが起きた、という設定になっています。「給与明細をきっかけに進入を許した」というメッセージを見た辻氏は思わず「あるあるですが、クリックしてしまう人がいるのは理解できます。攻撃者は人の心理を常に突いてきますからね。」とこぼします。
「添付されたPDFが実は偽物で、それが不正なコードを実行したようです。標的型攻撃ではファイルをすぐ開かずにはいられないようなもの、たとえば人事関連や組織に関連が強いもの、個人を狙ったものでは給与明細や請求書などが添付されたメールがきっかけとなることが多いです。あとは時事的な話題ですね。最近だと新型コロナ関連のもの。開いてしまう人、やっぱりいますよね」(辻氏)
人事部門への問い合わせメールも引き金となることが多いといいます。
「『そんなメールを開くのはおかしい』 『注意が足りない』という人がいますが、届いたメールにすべて対応することをメインの仕事にしている人がいるので、その人たちを頭ごなしに非難はできないと思います。そして、攻撃者たちもそういうところをうまく狙ってくるんです」(辻氏)
辻氏が、ゲーム画面上に書かれたメッセージを読み終わらないうちにゲームがスタート!
「プレイヤーの都合に関係なく、いきなり始まるのは実際のサイバーインシデントっぽくていいですね」(辻氏)
マルウェアによって閉鎖されたゲートが赤く点滅している画面を目にした辻氏。クリックして復旧させてもなかなか減っていかない赤い点滅に強いプレッシャーを感じているようです。
「実際にインシデント・レスポンスをするときも100%完璧に対応することはなかなかできません。事前の準備が大事なことは言うまでもありませんが、準備していても実際にサイバーインシデントに遭遇するとうまく回らないもの。それがよく表現できていますね」(辻氏)
[ACT2]では、空港のシステムに侵入したハッカーから「コアシステムを掌握した。悪用されたくなければ、100 ビットコインを払え」という脅迫メールが届きます。マネージャーへと立場を変えたプレイヤーはチームを結成し、トラブル対応の準備を整えていきます。
空港ではウィルスによるシステムエラーが原因で心臓移植用の搬送が止まるなど、重大なトラブルが発生し始めます。結成したチームからそれぞれのトラブルに対して最適なメンバーを1人選び対応に当たらせます。時間内にどれだけ多くのトラブルを解決できるかが勝負です。
チームのメンバーを選ぶ際、辻氏はカスタマーサービスのスタッフを多く採用。その理由をこう説明します。
「空港でシステムが止まって問題が生じると、空港に来ている人たちから質問を受けたり、人員整理を行ったりする必要が各所で出てくるはずです。だから、カスタマーサービスのスタッフを多くしようかと。チーム編成はサイバーインシデントが起きている場所や業種などによって変わりますよね」(辻氏)
編成したチームのメンバーの特性を活かし、心臓移植の輸送など緊急性が高い問題に対応していく辻氏。ところが解決できた問題は意外と少なく、少しがっかりした様子です。
権限の委譲がインシデント・レスポンスの成否を分ける
[ACT3]ではフライト・インフォメーション・システムが乗っ取られます。
電光掲示板にはハッカーたちの要求が表示され、空港の危機的状況が人々に知れ渡ります。エグゼクティブの立場となったプレイヤーは空港でのトラブル対応をするため、選択肢の中から適切な判断を選んでいきます。メディアからはインタビューにも適切な回答を選ぶ必要があります。さらに最後の選択として、身代金を支払うのか否かの決断に迫られます。
[ACT3]では時間に追われてクリックして問題の内容を確認できないことも少なくありません。
辻氏はどのように問題を取捨選択するのでしょうか。
「僕は今回のサイバーインシデントが原因で表面化しているものを優先しています。要はお客さんやメディアから見て分かりやすいものから対処することを意識しているんです。空港で人が動けなくなったら大きな問題になるので、お客さんの満足度をできる限り下げずに、発生している問題をできるだけ早く対処することを意識しながらプレイしています。とはいえ、プレイヤーである僕が選択できる内容は、問題をクリックするまで分かりません。実際のインシデントでも聞いてみないと分からないものがあったりするのでそれがよく再現できていますね」(辻氏)
問題への対処の選択として最も重要なのは優先順位を決めること。それは企業や経営者によって変わるところだと辻氏はいいます。
「僕はセミナーで『自分たちにとって一番大事で、守りたいものはどこにある何ですか』という問いかけをよくするんです。それが分かっていないと優先順位を決められなくて”あれもこれも”となってしまうからです。そこは経営による判断なので、(一番大切なものは)自分たちの保身、でもいいわけです(笑) それも経営責任を持っている人間のひとつの選択肢だと思います。結果、あまり良くない方向に転ぶ可能性が高いですが…」(辻氏)
インシデント・レスポンスの際、初動をどうするのかを事前に決めておいたり、チームの構成を考えておいたりしておくことも重要だといいます。
「こういう事案の場合はこういうふうに選定するとある程度決めておく必要はありますね。あと、TERMINALには出てきていませんでしたが、連絡先をきちんと把握し、連絡網を作っておくことも重要です。実際のインシデントでは『誰々さんの連絡先、誰か知らん?』みたいなことがよく起きるんです」(辻氏)
連絡網を作るだけではなく、本当に連絡が付くのかを確認しておくことも重要だと辻氏はいいます。また、連絡がつかないと次に進めないという問題が発生することを避ける必要があるとも話します。
「連絡が付かない場合、こういった件に関してはこの人に権限が移譲されているとか、そういうことをちゃんと定めておかないとうまく回りません。責任を取る人に権限があるんですが、権限がある人ほど意外と現場を知らないことが多いので、こういう場合はこの部署、あるいはこの人に任せるというようにしておいたほうがうまくいきます」(辻氏)
辻氏はマイナビが主催する「情報セキュリティー事故対応アワード」で、さまざまなレスポンスをした企業の人たちにインタビューをして気がついたことがあるといいます。
「基本的にお金が絡むこと以外は現場に任せるという方針を取っている企業はとてもいい対応をしていました。その一方、いい対応ができる能力があるのに権限委譲ができていないのでうまくいかないというケースも多々あります」(辻氏)
それぞれのセクションによって重要なことが異なるとも話します。
「いろいろな問題が発生したときに、それぞれの立場で大事だと思うものが違うんです。たとえば広報部門が大事にしていることと技術部門が大事だと思っていることの価値や意識が違うことで『広報には伝えなくてもいいと思っていた』みたいなことが起きたりするんです」(辻氏)
TERMINALのプレイヤーに最後に残された選択、身代金を支払うのか否かについて辻氏はこう説明します。
「反社会勢力に身代金を支払うことは良くないに決まっています。でも、それで人命に影響が出たらどうするかという問題もあります。ですから、何が正しいかは答えがないと思っています。ただ、そうしたことに直面したときに、いくらまでならば支払うのか、誰の判断でそれを決めるのかスピーディに行える体制など、準備ができていることの重要さを僕もゲームを通してあらためて認識しました」(辻氏)
セキュリティーインシデントはIT部門だけでは防げない
ゲーム終了後、辻氏はTERMINALを体験した感想を次のように語りました。
「次から次にいろいろなことが起きることで、実際のインシデント・レスポンスで感じる焦りをよく表現できていますね。同じ話が何回も出てきたり、今そんなことは関係ないだろうみたいなものが出てきたり。たとえば犬の話とか(笑)。インシデント・レスポンスをうまく再現できていると思いました」(辻氏)
辻氏は「IT部門やセキュリティー部門の方はTERMINAL をやってみてほしいです」と勧めると同時に、広報担当者や財務担当者などにとってもこのゲームをプレイする価値があるといいます。
「TERMINALでは高い点数を取ることが目的ではないと僕は思っています。実際にインシデントに見舞われたときに、自分たちは何ができるんだろうとか、こんな切迫した状況になるんだということを体感するとともに、それぞれの立場でどう考えるのかというのを共有するためのいいツールになると思っているので、立場の違う人たちと一緒にプレイするのがいいかなと。プレイ後に感想を言い合ったら、立場によって違うと思うんですよね。『私はこれが正しいと思う』『いや、僕はそうじゃないよ』みたいなやりとりがあるといいコミュニケーションのツールになると思いました。あと処理しきれない問題、確認すら出来なかった問題もゲームの特性上あると思うので、複数回プレイするのがよさそうですね」(辻氏)
読者へのメッセージとして辻氏はこう話します。
「このゲームではランサムウェアでしたが、たとえばBEC(Business Email Compromise)というビジネスメール詐欺では財務部門も関係してくるのでIT部門だけでは防げないんです。僕も以前はそうでしたが、IT担当者はITに詳しくない人を軽く見てしまったり、こんなことも分からないかと思ってしまったりしがちです。でも、財務担当者やほかの部門のスタッフがいるから自分たちの仕事に専念できているのです。IT担当者たちが自分たちの役割を理解してもらうためにも、他部門のスタッフとコミュニケーションを取る際にTERMINALを活用してみることを勧めたいですね」(辻氏)
◆Information◆
日本語版TERMINALを提供する日本IBMはセキュリティーをテーマにしたイベントを予定しています。
「ニューノーマル」では、場所や時間の壁がなくなり、働き方、コミュニケーション、学び方、価値提供の方法などすべてにおいてデジタルが前提の世界となります。AIなどの最新技術をいち早く活用し、柔軟で効率的なリソース配置を実現するため、クラウドの活用がいっそう高まりつつあると同時に、あらゆるアプリケーションとデータをどこでも最適な場所に配置してセキュアに稼働できることが求められています。こうしたことを背景に、セキュリティーの考え方が大きく変わりつつあります。
10月27日のIBMのイベントでは「ニューノーマル時代のサイバーセキュリティー」をテーマに、 現在と将来の課題から企業を守るために、IBMがどのようにして、必要なスケールとスピードでその価値・サービスを提供しているかについて、実際のIBMのお客様事例とともにIBMのリーダーが語ります。
[開催詳細]https://www.ibm.com/jp-ja/events/security-summit
また、マイナビは1年間のインシデントを振り返り、対応の素晴らしかった企業を表彰するイベント「情報セキュリティー事故対応アワード」を開催しています。2020年3月で5回目を迎え、サイバーセキュリティー月間恒例のイベントとなりました。情報セキュリティー事故対応アワードの延長として、9月15日に「インシデント・レスポンス(事故対応)」にフォーカスを当てたセミナーを開催します。
[開催詳細]https://news.mynavi.jp/itsearch/seminar/402
当日はインシデント・レスポンスの基本的な考え方や普段の準備の内容、有効な製品・サービスなどを具体的に紹介。製品・サービス紹介セッションにも情報セキュリティー事故対応アワード審査員が登壇し、セキュリティーの専門家ではなくても検討できるよう優しく解説します。第三者の視点を交えて製品・サービスまで学べる貴重な機会となるはずです。
[PR]提供:日本アイ・ビー・エム