PwC 対談シリーズ 第5回

――サイバー演習の意義とポイント、サイバー演習の在り方について

対談者
PwCサイバーサービス合同会社 最高技術顧問 名和 利男(写真左)
PwCサイバーサービス合同会社 最高執行責任者 星澤 裕二(写真右)

予期せぬサイバー攻撃がやってきても、慌てずに対応し、被害を最小限に食い止めるには、何と言っても事前に実践的な疑似体験をしておくことが一番です。さまざまなサイバー演習を提供している立場の2人が、サイバー演習の意義とポイント、そして今後のサイバー演習の在り方について語ります。

サイバー演習という危機管理

――お2人とも、日頃より、サイバー演習を提供している立場です。まずはサイバー演習をする意義についてお話していただけますか。

星澤 名和さんも今、いろいろなところで演習をしているのではないでしょうか。

名和 毎日のように、演習やそれに準ずるようなことをやっています。星澤さんは技術部門のスターなので、私には想像もつかない知見をお持ちではないかと思いますが、私は、多くの組織で、意思決定者である経営者から現場の技術者まで、全部を網羅するサイバー演習を作ることに心がけています。しかし、いまだ納得のいくプログラムを作ることができていません。
ハイレベルの意思決定者である経営者や組織の幹部の方々は、たいてい業務が立て込んでいて時間がありません。その中で、万が一に発生するインシデントへの対応準備として、上層部自らが、受けた報告の理解と判断および関係する部署への対処指示を行うことができる能力を保有しておくことが求められます。しかし、サイバーの世界は難解な用語や概念が多々あるため、インシデントが発生した際、上層部に1、2時間かけて説明しながら報告することがあります。それでは迅速な対応は実現できません。どうしても上層部は、「早くやってくれ」などの単純な指示に陥りがちです。事前に疑似経験をして、インシデントの発生に対して適時適切な指示が出せるよう、習熟を兼ねた訓練を重ねる必要があります。その意味で、「机上演習」は非常に有効だと考えています。
現場の方で言うと、サイバー攻撃は隙をついてきたり、想定外のことが起こるものなので、さまざまなテクニカルな対処経験を事前にしておかなければ、首尾よく対応することができません。インシデントなどが起こったときに、「これから勉強して対応する」というのでは、現場にフラストレーションを与えます。自分の部署で対応が出来ない場合、他の部署や外部専門組織から支援を得る必要があります。しかし、インシデントが発生してから、対応できるところを探して1つ1つ連絡していくというのは、現実的ではありません。事前に調べておいて、連絡先をリストにしておくことも必要です。
今は、そういうことに対応するための連携型訓練や、いろいろな知見を加えた訓練を提供させていただいています。

星澤 今、当社はレッドチーム演習を作ってプレス発表をしたところですが、おかげさまで引き合いが多くて、演習を提供する側の人手が足りなくなるほどになっています。多くの組織で演習のニーズが高まっている理由は、やはり名和さんがおっしゃるように、きちんと訓練しておかないと、実際にサイバーインシデントが起きた時に対応できないということと、ただ演習をするだけでなくて、組織の仕組みや体制などを含めて、全体の演習をしなければならないということです。
最近は、ログなどを監視して攻撃の早期発見を担当するSOC(Security Operation Center)や、インシデント発生時に被害を最小限に抑えるために対応するCSIRT(Computer Security Incident Response Team)を組織内に構築している企業や組織も増えています。プライベートでSOCを作っていたり、企業が自前でCSIRTを作っているところも、今や珍しくありません。そういう組織は、コンサルタント会社や、さまざまなところで支援を受けてSOC やCSIRTを作っていますが、その評価がきちんとできていない面があるのではないかと思います。その評価の一つとしてレッドチーム演習は有効だと考えています。
演習では、かなり本物に近いかたちでインシデントを発生させるので、その時にSOC やCSIRTがきちんと機能しているのか、場合によっては、導入しているセキュリティ対策は、きちんとログを残してくれているのか、というところまで確認しようとしています。それによって、組織全体の評価もできますし、テクニカルな面の評価も、全部できるからです。従って、その中で何が一番問題だったか、何が足りなかったか、実際に起こったときにどこに問題が起きそうなのかを評価しています。こういうことは今後、全体的に必要になってくることだと思います。

名和 それはいいですね。今、伺った中で特に素晴らしいと思ったのは、きちんとログを残すことができているか、ということです。ログを残すことは、非常にコストがかかるので、どのくらいの期間のログを残すかということと、一つのログでも膨大になることもあるので、その適正値を生み出すという発想がいいですね。

星澤 そうですね。セキュリティ対策を入れたきりで、その評価を何もしていなかったという組織が多いので、そういう組織は、恐らくインシデントが起きた時にあわててログを検査する状況に陥ることが多いと思います。演習は、それを事前に確かめられるので、有効だと思います。レッドチーム演習は、限られた時間でやらなくてはならないので、あらかじめいろいろな側面から見て環境を把握して、ここが一番危なそうだというところを選んで疑似体験をするので、その点も、今まであまり行われていなかったところなのではないかと思います。

名和 ペネトレーションテストを包含しているような感じですね。それはすごいです。

星澤 そういう意味では引き合いも多いですし、技術的にも高度な技術を使わなければなりませんが、かなり実践に即した形でできるので、面白いと思います。今後、重要インフラだけに限らず、いろいろなところで必要になってくるのではないかと思います。

未知の攻撃に対応できる発想

――他に、サイバー演習を提供するにあたって、重視していることはありますか。

名和 これからサイバー戦争という切迫した危機状態が来た時に、攻撃側はあの手この手でやってきます。例えば日本ではまだ経験がなく、また着眼すらできていない、より高度で巧妙な攻撃がくることも予想されます。個人的には、そのために、いろいろな先進的な攻撃を分析したり、そういった脅威をレポート化する作業をしています。
昨年12月のウクライナの電力供給会社に対するサイバー攻撃では、マイクロソフトのアップデートが結構な数で使われていた痕跡がありました。これは、DNSサーバーを攻撃したのではなくパソコンのホストを書き換えていたといわれています。今までいろいろなシナリオを見たり予測したりしてきましたが、あまりないシナリオです。こういうやり方もあるんだと攻撃者に教えてもらったような感じです。
この手口によって実際に大きな被害が出たということは、もう、この手口は既知の攻撃手法になっているわけです。今、演習でこのような手口をつかったら、「そんなのはルール違反だ」と言われてしまうかもしれません。しかし、レッドチーム演習に限らず、サイバー演習をするときに、月並みな攻撃手法を知っているだけでは、あまり訓練や演習にならないのではないかと思います。今、星澤さんが言われたように、組織の内部でアセスメントをして、弱い部分を強化し底上げをすることはもちろん重要ですが、それに加えて、未知の攻撃も提供して、対応できるようにするのも、サイバー演習に求められる要件の一つだと考えています。

星澤 今、レッドチーム演習では、最新の攻撃手法を使ったり、最新の攻撃手法が使われる攻撃プラン全体を模擬したようなことを行っています。そういうキャッチアップはなるべくしています。ただ、ここは本当に大変な部分ですが、名和さんがおっしゃるように、いろいろな攻撃手法も出てきていますし、従来の攻撃手法だけでは、いずれ対応できなくなります。かといって未知のものは提供できないのですが、いろいろな手法を経験してみることによって、演習自体も有意義なものになるのではないかと思います。

名和 今、私がサイバー攻撃のシナリオで危惧しているのは、最近、マルウェアを使わないサイバー攻撃が出てきていることです。米国の金融ISAC(アイザック)の関係者に聞いたのですが、攻撃が全て正規アカウント、正規ルートでやってくるそうです。こういう攻撃は、日本国内では想定しているところが非常に少ないのではないかと思います。ログを残しておく意味は、悪意のあるソフトウェア、つまりマルウェアが動いた形跡や挙動をとるわけですが、今のような攻撃をされた場合、そこで取れたログは、全て正規のソフトウェアの挙動です。これが攻撃であることを見破るのは容易ではありません。
今後は、より踏み込んだサイバー演習として、正規の動きの中で、通常と違ったものだとか、送られてくるものの分量、想定外のところに送られてきたことなどに注意して、攻撃を見抜く必要があります。これはかなり上級向けのシナリオになりますが、星澤さんは、そういう演習を作る余地はありますか。

星澤 ぜひチャレンジしたいですね。今、実際の攻撃をキャッチアップしながら、マルウェアを使わずに、普通のツールを組み合わせた攻撃もやろうとしています。標的型攻撃や、そこで使われるツールなどの調査・研究もしているので、そういう意味では、より本物に近いかたちでできると思います。

サイバー演習で人材育成を急げ

名和 2020年に東京オリンピック・パラリンピックがあり、今年は伊勢志摩サミットがあるので、それをにらんで、今はサイバー演習が重視されるようになっていますが、もう一つ、攻撃されてしまった場合に、その後で解析する演習も大事だと思います。
というのは、今年1月に発生した北朝鮮から韓国へのサイバー攻撃で利用されたマルウェアは、西側諸国でよく使われているマルウェア解析ツールを察知して、動かなくなるというものでした。高度な攻撃を回避するには相当な知見が必要であり、世界中で起こっている攻撃に関する情報を知っておく必要があると思います。

星澤 そうですね。われわれも解析を繰り返し行っています。特に初めて経験するものについては、解析が必須です。

名和 いろいろな解析ツールがありますが、解析ツールだけで解析することができる人と、ツールを使わずにできる人がいます。当然、ツールを使わずにできる人は少ないので、インフラ事業や政府機関など、重要なものや中枢のところについては、昔に戻って、手作業でできる人材を増やしていかなければならないと思います。日本でも、特に事案対処省庁などは、他の国と同様に、厳しい攻撃に対処できる人材をたくさん育成しなければなりません。

星澤 人材育成は重要ですね。

名和 非常に重要です。サイバー演習のプレーヤーの多くは、CSIRTやSOCとなっていますが、実際に国家レベルのサイバー攻撃が多くなっているので、サイバー演習を繰り返すことで体制強化と能力向上をしていく必要があると思います。同時に、サイバー演習によって、そういう攻撃に対応できる優秀な人材を一人でも多く育成していく必要があります。そういう演習を星澤さんに提供していただきたいと思っています。

星澤 ありがとうございます。ぜひやっていきたいと思います。