世界中で猛威を振るうランサムウェアをはじめとして、サイバー攻撃による脅威が深刻になっている。その一方で、IT人材不足が叫ばれており、なかでも専門性の高いセキュリティ人材は、多くの企業で慢性的に不足している。このため、セキュリティ対策と共に効果的なセキュリティ教育の重要性が高まっていると言えよう。
そうした中、特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)教育部会 ゲーム教育ワーキンググループが開発したのが、カードゲームを通してサイバーセキュリティを学ぶことのできる『セキュリティ専門家 人狼』(略して「セキュ狼」)だ。一部の企業で新卒採用にも導入されたほか、情報処理学会など各学会でも研究テーマとなるなど注目を集めている。
今回は、サーバー製品をはじめ、ストレージやネットワーク機器、それらの管理を行うさまざまなクラウドサービスを提供する日本ヒューレッド・パッカード(HPE)の社員4人が実際に「セキュ狼」をプレイしつつ、サーバーをめぐるセキュリティ事情やその対策について語り合った。
実際に「セキュリティ専門家 人狼」をやってみた
若者を中心に人気を集めているカードゲームである「人狼」。会話や仕草を通して相手の正体を見抜く伝統的なアナログカードゲームとして知られ、YouTubeにも多くのプレイ動画が投稿されている。この「人狼」をベースとした「セキュ狼」は、3~20人の参加者が20~60分ほどの時間でプレイできる手軽さが特徴だ。
「セキュ狼」では人狼ゲームの「人狼」や「騎士」といった役職が、セキュリティに関連する「汚職者」や「コマンダー」に変わっている一方、ルール自体は通常の人狼ゲームと変わらないので、人狼ゲームをプレイしたことがある方であれば、馴染みやすいはずだ。「セキュ狼」をプレイすることで、サイバーセキュリティの学習に対する敷居を下げたり、サイバーセキュリティに興味を持つきっかけになることもあるだろう。
今回ゲームに参加したのは、HPEの野井辰真氏(セキュリティ担当)、小森博之氏(組み込み機器担当)、山下嶺奈氏(サーバー担当)、安丸千暖氏(オンラインストア担当)の4人。
まず、4人が円になる形で着席し、最初にランダムで役職カードを配布。犯罪者として内部で不正を働く「汚職者」またはそれに加担する「ブラックハットハッカー」となってサイバー犯罪者陣営に属するか、対抗するシーサート陣営に所属することになる。ゲーム終了まで誰がどの役職だったのかは公開されない。それぞれのゲームの配役を確認し、ゲームの開始となる。今回は、「汚職者」が1人、「護衛調査ターン」で任意の1人を汚職者の襲撃から守ることができる「コマンダー」が1人、特に能力を持たない「ノーティフィケーション」が2人でプレイすることにした。
不正調査ターンで「汚職者」を見つけ出せ
不正調査ターン:参加者の会話や仕草を観察し、「汚職者」を推定する
ゲームでは最初に、不正調査ターンで「汚職者」と思われる人物を会話や仕草を観察して選び、投票で解雇者を決定する。「汚職者」かどうかを「捜査面接術」を駆使しながら上手く探し出すかどうか、自分が「汚職者」とは疑われないようどう周囲を如何に欺けるかが、醍醐味のひとつだ。今回は、「何者かによってどこかのWindows Serverのセキュリティ更新プログラムの適用が故意に外され、そこから会社のファイルサーバーがマルウェアに感染してしまった」という設定でゲームを行うことにした。外部のサイバー犯罪者陣営とつながっている「汚職者」を探し当てなくてはならない。
「被疑者面接」で侵入経路を探し出せ
Windows Serverのセキュリティ更新プログラムが適用さなかったサーバーを探し出すために「被疑者面接」は始まった。
安丸氏:山下さんはサーバー担当として、日頃検証センターのサーバーに触られていますが、日々の運用は大丈夫でしょうか?
山下氏:入社以前は、自分が危険だと思うサイトにはアクセスをしないなど、基本的なことさえ気を付けていれば関係ない話だと思っていました。しかしながらHPEに入社してサーバーの担当となってみて、実際のサイバー攻撃はOSの脆弱性が狙われたり、コンピュータが工場から出荷される前後に関わらずハードウェアレベルでも攻撃されるものだと知りました。
参考: 日本のホワイトハッカー第一人者に聞く、ハードウェアのセキュリティ対策が重要な理由
それに加え、在宅勤務になっても、サーバーはオフィスに設置されています。物理的に近くにいないと管理がおろそかになりがちですので、サーバーの管理についてはかなり気をつけています。特にOSへのセキュリティ更新プログラムの適用がされていない状態は非常に危険ですから、常に最新になるようにしています。
安丸氏:野井さんは入社して数年ですが、在宅勤務で意識されていることはありますか?
野井氏:入社前は自身のPCにセキュリティソフトを入れていれば安全で情報を守ってくれると思っていました。しかしサーバーセキュリティの担当となり、個人のリテラシーから会社のソフトウェアやハードウェアまで、様々な危険性があることを知りました。たとえば、重要な業務の話をするときは窓をあけて大きな声で発言しないようにするといった物理的なことまで意識していますよ。
安丸氏:小森さんは組み込み機器を担当されていますが、組み込み機器はセキュリティを心配する必要はないのでしょうか?
小森氏:例えば、クリニックでの電子カルテや、駐車場でのナンバープレートの自動認識などデータセンター以外でサーバーが使われるケースが増えています。こうしたサーバーは、データセンターやサーバールームと違って、セキュリティの厳しくない場所にサーバー置かれることが多くなっているのです。さらには、設置する際のサーバー配送時のセキュリティなども問題になってきます。
野井氏:あとは企業ネットワークのファイアウォールよりも脆弱なエンドポイントを狙ったサイバー攻撃が急増しています。こうしたリモート環境における各人のPCや個人のスマートフォンに入れて業務で使用するアプリといったエンドポイント、PCやサーバーのOSより深いところにあるファームウェアなども狙われがちです。
そういう安丸さんは、オンラインストアの運用をされていますけど、何か注意されているのでしょうか?
安丸氏:そうですね、オンラインストアのアプリケーションには、ハードウェアからソフトウェアまでの配慮が必要です。個人情報を取り扱うシステムでもありますから、安心してご利用いただけるよう、OSの脆弱性の対策に加え、WebサーバーサービスからEコマースのアプリケーションなど、様々なメンテナンスを日々行っていますよ。
サイバー攻撃はどのような手口なのか、「被疑者面接」は続く
多くの侵入経路を確認できた「被疑者面接」であったが、「汚職者」を特定することはできず、「被疑者面接」はサイバー攻撃の手口まで話が進むことになった。
安丸氏:野井さんはサーバーのセキュリティ担当として、昨今のサイバー攻撃の手口に精通していますよね?
野井氏:はい、最近のサイバー攻撃は複雑化しており、対処が年々困難になってきています。数年前からよく耳にするようになったランサムウェアも、以前はセキュリティソフトを入れて対処できていたものの、最近ではそのソフトをすり抜けてくる「変異型」が猛威を振るっていますね。怪しいWEBサイトには訪問しない、心当たりないメールのリンクはクリックしないなどの個人のセキュリティ意識、OSのセキュリティ更新プログラムの適用に加え、ハードウェアレベルでのセキュリティも重要となっています。
安丸氏:野井さん、サイバー攻撃への対策として、特に何が求められていると考えますか?
野井氏:自分たちがサイバー攻撃から顧客や取引先を守るのだという、当事者意識の足りていない企業はまずはそこを改善すべきでしょうね。その重要性を十分に理解している企業については、現状のセキュリティ対策の確認と複雑化していくサイバー攻撃に対処していけるのかどうか定期的に話し合うことが大切です。また、侵入経路も複雑化していますから、これまでの常識は通用しません。そうした現実を踏まえて、いかに信頼できるベンダーを選ぶかが、これからのセキュリティ対策の鍵になってくるでしょう。
安丸氏:ハードウェアレベルでのセキュリティはどのようにしたらいいのでしょうか?
野井氏:それは、内閣サイバーセキュリティセンターが「情報セキュリティを企画、設計段階から組み込むための⽅策」として、「セキュリティ・バイ・デザイン」と定義しています。セキュリティ・バイ・デザインとは、システム導入・運用後の後付けではなく、企画・設計の段階から製品にセキュリティ対策を予め組み込むことで、サイバーセキュリティを確保するという考え方です。
安丸氏:セキュリティ・バイ・デザインの具体的な実装はどのようにしたらいいのでしょうか?
山下氏:HPEの代表的なセキュリティ・バイ・デザインとして「Silicon Root of Trust」が挙げられます。これは、HPEサーバーに搭載されている独自開発の管理プロセッサー「iLO5」を起点として、ファームウェアのレイヤーから順にセキュリティの安全を検証しながら起動していくという、ゼロトラストの考えをもとに設計された仕組みです。iLOのような管理プロセッサーを自社で開発しているのはHPEだけという事実からも、HPEがセキュリティ・バイ・デザインにいち早く取り組み、業界をリードしていることがお分かりいただけるのではないでしょうか。
安丸氏:ハードウェアのセキュリティ対策と共に、来年の10月にWindows Server 2012/2012R2のサポートが終了する危険性についても、教えてください。
山下氏:Windows Server 2012/2012R2のサポートが終了すると、まずセキュリティ更新プログラムの提供がなくなります。これまである程度保証されていたセキュリティが保護されなくなるのでウイルスの侵入経路が増えたりハッカーなどに脆弱性を狙われる危険性も高まります。対策としてはサポート切れのタイミングを事前に把握し、システムの移行を計画的にしてOSのアップグレードを怠らないことだと思います。少し面倒ですが、ウイルスに感染してからでは遅いです。HPEのサーバーをご利用いただいていれば、そのあたりの情報も営業担当などからお知らせが入ると思います。
参考: 迫るWindows Server 2012/2012 R2の延長サポート終了。サーバー移行における5つのポイントとは
「被疑者面接」では、サイバー攻撃の手口の複雑さに安丸氏が、野井氏を怪しいと問い詰める場面が見られた。安丸氏に問い詰められ、黙り込んだ後、否定する野井氏。他の2人がこの様子をどのように見ていたのか──。
「解雇者決定」ターンで「汚職者」を排除せよ
解雇者決定ターン:「汚職者」と思われる人物を投票で解雇する。
「被疑者面接」が終わったところで、解雇する人の投票を実施した。ここで、社内の処遇に不満を抱えている「汚職者」と見なされて最も多く票を集めてしまったのは、何と安丸氏だった。野井氏を安丸氏が問い詰めたことで、周囲からは逆に安丸氏が怪しいと思われてしまったようだ。「なぜ自分が?」と納得いかない表情を浮かべたまま安丸氏が解雇され、ゲームの輪から抜けることになった。
今回は、「専門調査ターン」で勝敗が決まった
専門調査ターン:「コマンダー」だけが目を開けて「護衛調査」を行うことができる。
ここで「セキュ狼」は「専門調査ターン」に入る。司会者から未だ「汚職者」がこの3人の中に潜んでいることが告げられ、全員がいったん目を閉じて顔を伏せた。このターンでは「コマンダー」だけが目を開けて「護衛調査」を行うことができる。「コマンダー」である小森氏が、このターンで護衛したい参加者として同氏が選んだのは山下氏だった。
続いて「不正実行ターン」となり、「汚職者」は不正実行ターンで罪を転嫁し、解雇に追い込む従業員を選ぶことができる。「汚職者」が不正を働く時が訪れた。罪を着せ、えん罪に追い込む参加者として指名されたのは山下氏だった。
ここで全員が顔をあげ、目を開ける。「今回、解雇された人はいませんでした」と司会者が皆に伝えると、コマンダーによる護衛が成功したことが明らかとなった。ここでゲームはまた最初の不正調査ターンに戻る。
コマンダーによる護衛が成功したことで、既にコマンダーの小森氏は誰が「汚職者」なのかが分かっている。小森氏に問い詰められ、焦りを見せた野井氏。解雇者の決定投票では、小森氏と山下氏は野井氏を指差し、野井氏だけ一人虚しく山下氏を指差す。これにより、ついに「汚職者」の足がつき、野井氏が解雇──会社から追放され、シーサート陣営が勝利することになった。
シーサート陣営の勝利に、小森氏と山下氏、そして野井氏に濡れ衣を着せられ一足先に解雇されてしまった安丸氏も、皆が満面の笑みを浮かべてお互いを称え合った。一方の野井氏も、ゲームに敗れたことには残念そうな表情を浮かべたのも束の間、本職はセキュリティ担当だけあって、やはりシーサート陣営の勝利にはどこか安堵の表情を浮かべていた。
ゲームがセキュリティについて考える良い機会に
ゲーム終了後は、サーバーをめぐるセキュリティ事情やゲームの感想について語り合った。
小森氏:やはりセキュリティというのは改まって話し合う機会が普段はなかなかないので、セキュリティについての話をメンバーとするいい機会づくりになるのではないでしょうか。ただ、セキュリティについて本格的に“学べる”というわけではないので、「セキュ狼」を入口として、セキュリティ教育へと進めていけるとより効果的ですよね。
安丸氏:皆で話し合いながら進めていくゲームなため、自分がセキュリティについてどんなことを気をつけて取り組んでいるのか振り返ることができたし、他の人がどういったことに気を付けているのかも知ることができたのは、貴重な機会だったと感じています。「セキュリティ・バイ・デザイン」が実装されたサーバーの相談は、HPEの公式オンラインストア、HPE DirectPlusのコールセンター、お客様の”お見積コンシェルジュ” へお気軽にお声がけください。「急にサーバーなどのシステムを構成するのは難しくて不安」という方や「自分で見積作成する手間を省きたい」という方のためにコールセンターをご用意しており、お客様に代わって構成作成やパターン見積の作成などを承ります。また豊富なサーバーラインアップの中から「どの製品を選んでよいか分からない」という場合にも、コールセンターがお客様にご要件をお伺いし、お客様のビジネスにフィットする、最適な製品を提案させていただきます。
参考: 機器購入における情シスの負荷を軽減! HPEの営業担当も見積依頼をするコールセンターとは
関連情報
・セキュリティ専門家 人狼
>>詳しくはこちら
・日本ヒューレット・パッカード合同会社公式HP
>>詳しくはこちら
まずはHPE DirectPlusでお見積もりを
Web | HPE DirectPlusはこちら | |
電話 |
0120-215-542 フリーダイヤルをご利用できない場合 03-6743-6355 受付時間:月曜日~金曜日 9:00~19:00(土曜日、日曜日、祝日、年末年始、および5月1日お休み) |
|
メール |
Webフォームはこちら お見積もり・ご購入のご相談・製品に関するご質問などにEメールでご返答いたします。 |
[PR]提供:日本ヒューレッド・パッカード