ランサム攻撃訓練の高度化でBCPを磨き上げる

セキュリティーとBCPを磨け　立ち向かうサイバー攻撃（2）

リスク管理統括部サイバー・システムリスク統括担当部長の古田幸博氏 （右）と同担当筆頭リスクアナリストの坂本純一氏

大手生命保険会社の明治安田生命保険（東京都千代田区、永島英器社長）は、全社的サイバー訓練を強化・定期実施している。ランサムウェア攻撃で引き起こされるシチュエーションごとに課題を洗い出し、継続的な改善を行ってセキュリティー対策と初動対応、BCPをブラッシュアップ。主力商品が電子データ化されている業種特性をふまえ、システムとネットワークが止まっても重要業務を継続できる態勢と仕組みのレベルアップを目指す。

明治安田生命保険
東京都

明治安田生命保険は2022年度から、経営層向けのサイバー訓練を開始した。ターゲットとする事象は明確にランサムウェア攻撃。不審検知から初動対応、調査・分析、事業継続まで、一連の対応を確かめる。ネットワーク遮断、情報漏えい、身代金要求など、影響の強度と範囲は単純なシステムトラブルの比ではない。

「サイバー攻撃については、以前から事務局訓練やスポット訓練は行っていた。しかし、経営を巻き込んだ訓練ができていませんでした。特にいま各所で被害が報じられているランサムウェアの場合は、単なるシステムトラブル対応では済まない。経営側も危機感を強めていました」

リスク管理統括部サイバー・システムリスク統括担当部長の古田幸博氏はそう話す。

時間軸と対象範囲を決め継続的に訓練

社内で不審動作を検知するとインシデント対応チーム、いわゆるCSIRT（シーサート）が動き出す。メンバー20人強のチームがリスク管理統括部のもと、臨時の事務局となってパソコン隔離やネットワーク遮断などの緊急措置を実施。同時に全社的な危機対応組織を招集し、事前の役割分担に従って調査・分析や状況把握、内外の連絡などを進めていく。

危機対応組織は、初動段階ではサイバー・システムリスク統括担当部長をトップとする緊急対応チームが動く。その後、ウイルス感染が確認されるなどでエスカレーションの段階が上がり、社長に報告が及んで危機判断がなされると特別対策本部が発足。トップの直接指揮のもと、各種報告をふまえて各事象への対応方針を決めていくという流れだ。

サイバー訓練はこうしたフローにそって、時間軸と対象範囲を区切って行う。例えば、今回は不審動作の検知から20分後まで、次回は初動・調査を行う2時間後まで、その次は緊急対応チームが発動する3時間後まで、といった具合。当然、シナリオはそれぞれのシチュエーションに応じて用意し、参加者もそのつど交替する。

「どの時間のどの動きを訓練するのかをしっかり周知。そこを明確にしないと話があちこち飛んでしまうからです。なので、訓練は前後の関連性を持たせて継続的に行う。各段階の課題をそのつど洗い出し、可能なものは対策を打つなどして、態勢と仕組みを常にブラッシュアップしていきます」

同じくリスク管理統括部サイバー・システムリスク統括担当筆頭リスクアナリストの坂本純一氏は説明する。

●2023 年度上期 ランサムウェア攻撃時の特別対策本部（経営層）訓練

画像を拡大 　提供：明治安田生命保険

最低ランクのシナリオでも影響は大

昨年2023年度上期に、経営層を対象とする特別対策本部訓練を実施した。東京・丸の内の本社ビルがランサムウェア攻撃を受けたと想定し、同ビルのパソコン100台隔離、一部サーバー（システム）停止、ネットワーク遮断、加えて同ビル以外も含めた全社的なインターネット接続停止といった条件のもと、模擬的に会議を運営するものだ。

時間軸は不審の検知から5時間後、第1回目の経営層招集時。シーサートによる初動・調査や緊急対応チームの発動など、それ以前のフェーズは別途訓練を行っている。そこで発覚した事案、例えば24時間以内に1億円の身代金要求といった事案もシナリオに組み込んだ。なお、この時点で個人情報の漏えいは確認されていないこととした。

「ランサムウェア攻撃時、これだけは起きる、これだけはやるという最低限のシナリオ。もっとシビアな条件も設定できますが、そこはランク付けして別途訓練する。まずは最低ランクで何が問題になるかをつかみ、できていないことを反省、改善して、次のランクの訓練にトライする」と古田氏は話す。

坂本氏も「最低限のシステム停止、ネットワーク停止でも影響は予想以上に大きい」と指摘。「PC端末を隔離することはわかっていても、ネットワークを止めることは知らない社員が多い。まずはそこを、経営陣も含めて認識してもらい、本当に業務が可能なのかを確かめてもらいたい」とする。