【要点抽出】サイバー攻撃演習訓練実施マニュアル

ニキヌス

3月22日に日本CSIRT協議会から「サイバー攻撃演習訓練実施マニュアル」が出ました。今回はこれを10分くらいでお伝えします。

https://www.nca.gr.jp/ttc/drill_manual.html

何のマニュアルか?

サイバー攻撃の訓練とか演習をやってみたいけど、何をどうすりゃいいの!という方向けに、その企画の進め方を指南するマニュアルです。

全体構成

全87ページです。
1章は前書き。演習/訓練の必要性や言葉の定義。
2章は演習/訓練実施の全体の流れを6ステップで解説。
3章は演習/訓練マップとして、フルスケール演習~ウォークスルー型まで9パターンに分けて解説。

第1章 はじめに

用語の定義が参考になったので書きます。

演習の目的は「検証」
途中で大きな問題があって演習が中断になった場合でも「課題が見つかったからやってよかったね」となる。レジリエンスが向上する。

訓練の目的は「技能の習得
途中で大きな問題があって訓練が中断になった場合、「技能を習得できなかったから失敗だね」となる。迅速性や正確性が向上する。

第2章 サイバー攻撃演習/訓練実施のためのSTEP

STEP1 プロジェクトの構築

  • CISOやCROがプロジェクトオーナー

  • CSIRTがPM

  • ITや広報など社内の各部門からプロジェクトメンバを集める

STEP2 情報収集

以下の情報を集めてSTEP3以降に役立てる

  • インシデント対応体制 ≒ CSIRTは誰と連携するの?

  • インシデント対応フロー

  • ビジネスへの影響度 ≒ 大きな影響を与えるインシデントは何?

  • 自組織の規程

  • システム構成/ネットワーク構成

  • 自組織のセキュリティ関連情報 ≒ シナリオにリアリティを持たせるための情報。過去のインシデント事例やその組織の課題など。

  • サイバー攻撃のトレンド

  • スケジュールのマイルストン

STEP3 計画の作成

  • 演習/訓練の目的

  • 対象システム

  • 参加者

  • 演習/訓練の形式(第3章で分類)

  • スケジュール

STEP4 シナリオ検討の項目

攻撃シナリオ検討 
MITRE ATT&CKを使ったり、攻撃組織のペルソナを設定するのがオススメ。他社の大規模インシデント事例を自社に当てはめたVerとかオススメ。

状況付与テーブル検討
攻撃シナリオの流れをもとに、防御側の目線で時系列ごとに明らかになるイベントを分解したもの。
X時X分にSOCで検知、Y時Y分にユーザヒアリングで〇〇が判明、といったものを表形式でまとめる。

状況付与作成
状況付与テーブルの一つ一つについて、演習/訓練のどのタイミングで開示するか?その際ヒントはあわせて出すか?等を決める。

レビュー
シナリオの妥当性のレビュー、状況付与の内容やタイミングのレビュー等

STEP5 実施準備/実施

日程調整、タイムテーブル作り、会場設営、シミュレーション、当日開催

STEP6 実施後対応

評価とフォローアップ

  • 演習/訓練の目的が達成できたか?

  • 参加者の満足度やフィードバックは?

  • 演習/訓練中の参加者の動きは期待するアクションに対してどうだった?

  • 第三者や運営からのフィードバックは?

第3章 サイバー攻撃演習/訓練マップ

全部で9分類。①のほうが開催の難易度が高い。

総合演習系…①フルスケール演習
机上演習系…②実環境型、③シナリオ非開示型、④シナリオ開示型、⑤合同演習、⑥ディスカッション型
机上訓練系…⑦実環境型、⑧集合型、⑨ウォークスルー型

①フルスケール演習

  • インシデントの全ての関係者が参加(経営も入るので事前調整が大変)

  • コミュニケーションツールや演習対象システムは、実際のものか近いものを使う。実際にインシデント対応のために手を動かす

  • 準備が大変な分、得られる効果も高い

②机上演習:実環境型

  • ①から実機を用いた演習対象システムを引き算した形。

  • コミュニケーションツールは実際に普段使ってるものを使い、コミュニケーションやインシデント管理の作業だけ手を動かす

③机上演習:シナリオ非開示型

  • ②からコミュニケーションツールを引き算した形。

  • 参加者とファシリテータが会議室やリモート会議ツールで集合。

  • ファシリテータからの状況付与にあわせて口を動かす

④机上演習:シナリオ開示型

  • ③からシナリオ非開示を引き算した形。

  • 参加者が内容を把握してから望むので演習の進行は円滑。

⑤机上演習:合同演習

  • ホールディングスのCSIRTが子会社を集めて同じシナリオでの演習を一気にやる形。

  • 親から与えられた状況付与に応じて、子会社ごとにディスカッションする。シナリオは非開示。

⑥机上演習:ディスカッション型

  • ③との違いがあまりよく分からない。

  • ③は参加者が自分の役割にあわせたロールプレイをする

  • ⑥は参加者全員でシナリオにあわせて「次はどうしようね!」としているイメージ?

⑦机上訓練:実環境型

  • やるべきことは全て事前に決められており、参加者はそれに沿って実際のコミュニケーションツールを使って手を動かしてみる

⑧机上訓練:集合型

  • やるべきことは全て事前に決められており、参加者はそれに沿って口を動かしてみる

⑨机上訓練:ウォークスルー型

  • シナリオをもとに、インシデント対応フローの読み合わせ

感想

9分類のうち①~④あたりはなるほど!という感じです。
⑤は位置づけが特殊なのでおいておいて、⑥があまりよく分からないのと、⑧⑨あたりは実際はそう違わない感じになるのかもと思いました。

細かい違いよりも、演習/訓練ってこんな種類があって、こんな風に企画運営するのね~という参考にするのがよいマニュアルかと思いました。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。

この記事が気に入ったらサポートをしてみませんか?