第590号コラム:名和 利男 理事(株式会社サイバーディフェンス研究所 専務理事/上級分析官)
題:「サイバー演習シナリオの作成に必要となる観点とポイント」

ここ数年、サイバー攻撃が急激に増大していることを受けて、各所において多種多様なサイバー演習が実施されている。その中で、サイバー演習を企画・準備するチームが困難と感じることとして、「サイバー演習のシナリオ(以下、シナリオ)の作成が難しい」と伺うことが増えてきている。

そこで、本コラムでは、筆者が国内外で実施及び参加しているサイバー演習から得られたFindings(見出されたこと)と教訓(Lessons Learned)の中から、シナリオの作成に必要な観点とポイントを共有させていただきたいと思う。

まず、筆者が主体的に行うサイバー演習プロセス(企画・準備・実施・評価)は、次の知識体系をベースにしていることをお知らせする。

Homeland Security Exercise and Evaluation Program(HSEEP)

Target Capabilities List(TCL)

Universal Task List(UTL)
(実施対象における各主体の所掌事務やSOPをベースに数百程度のタスクを作成。)

このような知識体系を忠実に踏まえた上で、実際に日本国内でシナリオの作成を進めていくと、(日本の文化・慣習を尊重した上で)サイバー演習を成功させるために必要となる(ことの多かった)観点とポイントを相当数得ることができた。

あくまで筆者の経験に基づくものであるため、合理性のある論考を提供することは難しいが、今年、国内の相当数の組織からいただいた「シナリオ作成に関する質問や支援依頼に対して提供した助言・コメント等」の中で、依頼元から良い反応があったものを中心に紹介する。

【シナリオ作成者の行動指針】

・シナリオを作成する上で、偏り固執せず、演習目的を達成する道筋を提供することに力を注ぐこと
→シナリオ作成者の専門/所掌領域の経験に影響を受けたバイアス(恣意性)を排除する。

・直近のサイバー攻撃に対する状況認識と演習参加者の実情把握を徹底的にすること
→OSINT(オープンソースインテリジェンス)担当者と積極的に連携及び意思疎通をする。

【シナリオの基本指針:参加者の満足度とサイバー演習の有用性の向上策】

・シナリオは、何かしらの脅威に対する対処活動で現実的なものでなければならない
→参加者の所掌、権限、能力等を徹底的に(できるだけ直接的に)把握する。

・シナリオは、あまりにも挑戦的過ぎて、参加者を単に困惑させるものであってはならない
→ある程度は挑戦的であるべきだが、参加者がお手上げ状態にならないようにする。

・シナリオには、次の3つの要素を含めること
―参加者が、自分の役割を発揮できるような状況設定をしていること
―ストーリー性があり、誰もが理解できるものであること
―シナリオにおける状況設定やイベントに必要な技術的な情報が含まれていること

【シナリオの設計方針】

・イベント(状況付与)は現実的であること
→演習スコープ(対象領域)でペネトレーションテストを実施していれば、それの結果を利用する。

・イベント(状況付与)は逐次追加されるものであり、よく整合された、因果的に連続していること
→APT攻撃の多くがサイバーキルチェーンを踏襲していることを念頭におく。

・直近のインシデントに対する連絡調整の手順を困惑させる/実施可能な負荷を与えることを意識すること
→組織全体でインシデント対処は、異なる所掌と責任を持つ部門や組織間の連携と同義である。

・コミュニケーション経路の確立をねらうこと
→組織的対処を伴うサイバー演習は年に1度程度であるため、人事異動や失念等でインシデント対処のためのコミュニケーション能力が不足しやすい。

・互いに不明なそれぞれのプロセスとポリシーのギャップ(乖離)を認識させる
→所掌や責任の異なる部門間或いは組織間で円滑かつ迅速な情報伝達をするには、相互理解を促進させなければならない。

・演習参加者の同意を得ること
→シナリオには、特定の部門や組織のミスや責任と認識されるイベント(状況付与)が含まれやすい。

・全ての演習参加者に対して問題(対処しなければならない状況)が段階的に拡大するものであること
→一部のイベント(状況付与)に参加者の成功体験を与えるものを入れ込み、即時発見することが難しいサイバー攻撃を遡及的に原因追求する機会を与える。

・特定の参加者に偏ったイベントから全体的に拡散していくイベント(状況付与)であること
→イベント(状況付与)を拡散させることにより、部門或いは組織間の連携アクションを作り出す。

・インシデントが継続することにより、演習参加者全体の意識が高まるものであること
→演習参加者は、成功体験を(一部でも)得ることで手応えを感じ、結果として意識が高まる。

以上の観点とポイントは、シナリオの作成としての網羅性と完全性は無いことに留意していただきたい。あくまで、サイバー演習を検討されている方々や企画・準備をされている方々の一助になることを念頭にしたものである。

また、筆者は、「インシデント対処」という言い回しに、技術的・管理的対処というニュアンスが強まりすぎていると感じている。

最近のサイバー攻撃は、人間・組織/コミュニティ・国家の意思に基づいて仕掛けられ、必ず特定目的を達成させるために、攻撃者自らが保有している技術や知見を駆使する。

そのため、標的となる領域では、(実装されているセキュリティの仕組みにより大きく違うが)認知されるインシデントが時系列をもって何層にも積み重なっていくのが常である。したがって、シナリオの作成においては、「どのような攻撃者に対抗するのか」を重要視する必要がある。

まさに、「彼を知り己を知れば百戦殆からず」である。

【著作権は、名和氏に属します】