セキュリティ専門家は、多くのサイバーテーブルトップ演習があまりにも具体的になりすぎていると考えている一方で、他の専門家は、セキュリティチームが直面する可能性が高い、より小規模で微妙な攻撃に焦点を当てるべきだと主張しています。
ほぼ5件中3件(57%)の重大なサイバーインシデントは、サイバーセキュリティチームが準備していなかった攻撃によるものであり、CISOはテーブルトップ戦略を再評価し、場合によっては再度取り組む必要があることを示唆しています。
Cytactic 2025年サイバーインシデント対応管理(CIRM)レポートによると、「165人のCISOを含む米国の上級サイバーセキュリティリーダー480人」に調査した結果、この57%という数字は「大きな脆弱性を示している」といいます。組織はしばしばランサムウェアのような既知の脅威に対して訓練しますが、これらのインシデントは本当の混乱が予期しない事態から生じることを証明しています。
その結果、セキュリティチームはテーブルトップ演習を継続的に刷新しなければ、新たな脅威への対応力が不足する可能性があるとレポートは結論付けています。「真の利点は、これらの演習を関連性があり現実的なものにできることにあります」とレポートは述べています。「組織、業界、セクター、リスク、脅威プロファイルに合わせてシミュレーションを構築することで、これらの演習は単なるセキュリティ訓練以上のものとなり、ビジネス全体の連携に不可欠なツールへと変わります。」
アナリストやサイバーセキュリティコンサルタントは、企業がテーブルトップ演習やその他の準備演習を実施する方法に複数の問題があると見ています。現実的でない、または大規模だが起こりそうにない攻撃シナリオをテストしているなどの点です。
あるコンサルタント(匿名希望)は、最近のテーブルトップ演習の例を挙げました。そこでは、攻撃者が通信を監視している場合に備えて、関係者全員にバーナーフォン(使い捨て携帯電話)を購入して安全に連絡できるようにしていました。
演習の中で、経営陣は参加者に実際にバーナーフォンを使うように指示しましたが、多くの従業員がバーナーフォンの隠し場所を覚えておらず、見つけるのに時間がかかったことが判明しました。
別のケースでは、SOCスタッフが重大な侵害時に連絡すべき人のリストを見つけました。しかし、CISOが実際にその連絡先に電話やメッセージ、メールをするよう指示したところ、多くの電話番号やメッセージアドレスが無効になっていることが判明しました。
「攻撃に特化して準備するのは本当に不可能です」とWill Townsend氏(Moor Insights & StrategyのVP兼主席アナリスト)は言います。「最高の計画があっても、メールが返ってきたり、予備の電話が見つからなかったりするのは問題です。」
小規模な攻撃のロールプレイに焦点を
セキュリティベンダーCorelightのCTOであるVincent Stoffer氏は、CISOは大規模な攻撃よりも小規模な侵害にもっと焦点を当てるべきだと提案しています。
「多くのテーブルトップ演習は、下からの技術的要素に特化しすぎており、現実的な敵対者の戦術よりも劇的な侵害に偏りがちです」とStoffer氏は述べ、攻撃の規模にかかわらず、ほとんどのサイバー犯罪者は予想されない微妙な戦術を好むと付け加えています。
「攻撃者は、ラテラルムーブメントや静かなデータ流出のような微妙な行動で成功することが多いですが、これらは十分にシミュレーションされていません」とStoffer氏は言います。攻撃者は「通常、クラウンジュエル(最重要資産)、Active Directoryの完全な侵害、IDサーバー、個人情報(PII)などの目的にアクセスするために、あらゆる手段を使います。検知を避けるために非常にゆっくりと慎重に始めることもあれば、初期アクセスのためにフィッシングや認証情報の収集など、一般的だが警戒されにくい手法を使うこともあります。一度組織内に足場を築くと、環境で得た知識や観察したツールなどを活用し、アラームを鳴らさずに素早く静かに動くことができます。」
しかし、彼が見る限り、多くの企業のサイバーセキュリティチームがテストしているのは全く異なるものです。
「これに対し、仮定や特定のトリガー、例えばホストがマルウェアに感染したというアラートに基づくシミュレーション演習では、IR(インシデント対応)のシステムやプロセスをテストしているものの、シナリオを進めるために必要なクリティカルシンキングや探究、発見は一般的に少なくなります」とStoffer氏は指摘します。「これにより、SOCチームがよく知っている慣れた道をさらに進むことになり、演習としては有益ですが、より微妙で現実的な攻撃手法を使って演習に取り組む方が多くのものを得られると私は考えます。」
Jeff Pollard氏(ForresterのVP兼主席アナリスト)は、人への連絡の詳細を詰める作業がしばしば見落とされていると強調します。
「テーブルトップ演習の問題は、一度にやりすぎようとすることです」とPollard氏は述べ、「CISOが飛行機に乗っていて今は話せない場合はどうするか。顧客と話す必要があるか。CEOは何回電話に出なければならないか。その一部をCOOに任せられるか。パートナーはどうするか」といった点に焦点を当てることを提案しています。
Pollard氏もまたバーナーフォンの問題について懸念を示しています。「全員にバーナーフォンを買いましたが、どこにあるか知っていますか?充電されていますか?スタッフは自分のバーナーフォンの番号を知っていますか?システム全体がダウンした場合、誰かが紙で情報を保管することを考えましたか?」
Erik Avakian氏(Info-Tech Research Groupのテクニカルカウンセラー)は、多くの企業が間違った理由でテーブルトップ演習を実施していると見ています。
「多くの人は年に1回しかやっておらず、時にはコンプライアンスや保険のため、単なるチェックボックスとしてやっているだけです」とAvakian氏は指摘します。彼はCISOに「本気で演じきる」こと、実際の攻撃の緊張感やストレス、タイミングに合わせることを勧めています。「誰にでも限界点があります。それを学ぶ必要があります。」
将来を見据えた攻撃シナリオ
どのような攻撃に備えるべきか分からないという根本的な問題について、Avakian氏は、内部チームやパートナーを使って最も起こりやすい攻撃ベクトルをロールプレイすることを提案しています。コスト削減のため、企業は大学と連携して想像力豊かな脅威計画を行ったり、業界特化型ISACと協力することを勧めています。
Ivan Shefrin氏(Comcast Businessのマネージドサービス担当エグゼクティブディレクター)は、演習で焦点を当てるべき攻撃の種類について具体的な提案をしています。
「従来の訓練演習は、既知の脅威や境界攻撃に焦点を当てがちですが、攻撃者は常に新しい方法で企業ネットワークへの侵入を試みています。例えば、ローエフォート型のドライブバイ侵害は、悪意のあるサイトを訪れるだけでユーザーの操作を必要とせず、意識向上トレーニングを完全に回避します。だからこそ技術的なコントロールが非常に重要なのです」とShefrin氏は述べています。
「次に、高速かつ短時間のDDoS攻撃があります。これらはアラームを鳴らさずに防御を試し、テストします。私たちはこれらの攻撃の増加を観測しており、多くは10秒未満で終了します」と彼は付け加えます。「また、カーペットボンビング型DDoS攻撃の急増も確認しました。これは攻撃者が複数のIPアドレスやサブネットに同時にトラフィックを分散させて対策を複雑化させるものです。このような攻撃は、単一IPに焦点を当てた防御を回避し、全体としてネットワークを圧倒することができます。」
Brian Levine氏(元連邦検察官で、現在は元政府・軍関係者のディレクトリ「FormerGov」のエグゼクティブディレクター)は、CISOはこれらのテーブルトップ演習が「プロアクティブよりもリアクティブになることに慣れる必要がある」と述べています。「次に何が起こるかを推測することはできますが、間違っているかもしれません。」
Levine氏からの具体的なアドバイスは、常に自社が攻撃対象になるとは限らないと想定しないことです。異なるグローバルパートナーが攻撃されるシナリオをロールプレイすることを提案しています。「パートナーが攻撃された場合、選択肢は限られるかもしれませんが、それでも選択肢はあります。」
