BCPのプロが集うリスク対策.comにおいて、演習ネタを書くのは無謀なことと、今まで禁じ手にしてきました。ですが、最近、自分自身がサイバー攻撃模擬演習に参加する機会を得て、その体験を反芻するなかで、ああ、こういうことなのか、と実感しましたので、書かせて頂くことに致します。

相田みつを氏の言葉に、「柔道の基本は受身。受身とはころぶ練習。まける練習。人の前にぶざまに恥をさらす稽古。受身が身に着けば達人。まけることの尊さがわかるから。」というものがあるそうです。「百戦錬磨」とか「習うより慣れろ」とか言ったような短い常套句よりも、じんわり効いてくる言葉ではないでしょうか。サイバー攻撃についても、常にやられる立場になるわけですが、実にぶざまにやられることも少なくありません。攻撃をうけることは避けられないにせよ、受身が上手くなることはできるでしょうか。

柔道の達人のたとえをイメージに置きながら、現実のサイバー攻撃に対する防御の場面を模したサイバーセキュリティ演習によって、果たしてサイバー防御の達人に近づけるのか、演習の具体的なメリットを、いつものようにスティーブ氏に整理してもらうことにしましょう。

(ここから引用)


サイバーセキュリティ演習の10のメリット

定期的にセキュリティ演習を実施すること以上に、企業の強みや弱みを把握する方法はないのかもしれません。

(PHOTO - ISF)

Published: December 28, 2020
SOURCE: DARKReading
Steve Durbin, Chief Executive, Information Security Forum

情報を機密に保つことは、たとえ潤沢な人的資源があったとしても難しい課題です。最近でも、任天堂、Twitter、Marriott、Zoomといった企業が次々と、データ漏洩で世間の耳目を集めるなど、どんな企業であってもサイバー犯罪者の前には無傷では居られないことは明白です。ところが、ほとんどの企業は、サイバー攻撃を被った場合のリスクやダメージを軽減するための防御策やポリシーの策定が必要なことは理解しているものの、多くの場合、徹底的なテストを怠っています。 サイバーセキュリティ演習では、企業固有のシナリオに基づいたサイバー攻撃が現実となった時に会社としてどう対処すべきかについて、有益な示唆を得るためにシミュレーションをします。また、基本的で小規模な短時間のテストから、複雑で大規模な持続的攻撃まで、サイバーセキュリティ演習のシナリオによって、自社の防御戦略の効果検証をしたり、直ちに修正が必要な弱点を浮き彫りにしたりと、幅のあるものです。

そうした重要性にもかかわらず、ISF Benchmarkで自社評価を行った企業の74%は、開発中の重要システムをサイバー攻撃のシミュレーションや演習の対象にしていないと回答しました。サイバーセキュリティ演習は、そもそも時間がかかるし、実施には費用がかかる上に、混乱を招く可能性さえあると受け取られているためと思われます。適切に計画が立てられたならば、そのようなことになるはずもありません。サイバーセキュリティ演習というものは、いかに圧倒的なリアリティをもってメリットをもたらすものなのか、以下に10の視点をご参考に供します。

自社の強みを見極められる

どうしてもサイバーセキュリティ演習では、弱点や問題点を見つけることに焦点が当てられることが多いわけですが、自社でうまく機能していることを見極めることにも大きな意義があります。防御戦略が鉄壁であればどのシステムにも似た方法が取れますし、ポリシーがコンピュータ化されていればテンプレートとして展開できますし、さらに、実戦準備ができた従業員の知見は他の従業員のトレーニングにも役立ちます。

対応力の向上が図れる

おそらく最も明白なメリットは、サイバーセキュリティ演習を行うことで、将来ありうる攻撃に対する対処法を改善する機会が得られるということです。演習を通じて、自社の防御戦略の基礎にある理論が証拠によって裏付けられるかもしれませんし、新たなアプローチの必要性が見つかるかもしれません。いずれにせよ、結果として改善の原動力となるでしょう。

社員の訓練になる

実体験に勝るものはありません。サイバーセキュリティ演習によって従業員は、攻撃に対処する実践的な経験が得られ、いつ起きてもおかしくないという意識も高まり、正しい対応方法のすべてが学べるのです。また、実践的な要素があることで、学習の効果を長く保つことができます。

費用と時間軸が明確になる

攻撃に備えるためには、さまざまなシナリオに対応するために必要なリソースや、攻撃後に通常業務を再開するまでにかかる時間について、多くの仮定や見積もりが行われます。サイバーセキュリティ演習によって、かかる費用と時間軸が数字として明確になることから、自社のリジリエンスを高めるのに役立てたり、予算申請の説明に利用したりすることができます。

必要な社外の支援を判断できる

大規模な企業であっても、外部からの支援なしであらゆる攻撃シナリオに対処できるチームを維持することは、多くの場合、現実的ではありません。攻撃シナリオがどういう場合に、社外の支援を必要とするのか? 社外の専門知識をどれくらい迅速に確保できるのか? それにかかる費用はどれくらいか? セキュリティの演習を実施することで、こうした疑問点に答えることができるようになります。

測定基準をまとめられる

攻撃のさまざまな局面をどの程度迅速に処理すればよいのか、また防御措置の効果はどの程度であるべきか、について期待値を設定することは、自社戦略を定義する上で不可欠なことです。しかし、その目標が満たされているかどうかを証明するには、実際に攻撃が発生したときか、セキュリティ演習を実施したときだけです。こうしたデータは、今後の戦略に反映されて、会社の取り組みにおいて指針となるはずです。