これがTabletop Exerciseのやり方です

写真：GaudiLab – shutterstock.com

脅威の状況が緩和されることは決してありません――だからこそ、セキュリティの意思決定者やそのチームが、緊急事態や非常時にショック状態に陥らないことが重要です。ここでCybersecurity Tabletop Exerciseが登場します。

この記事では、以下の内容をお読みいただけます：

• Tabletop演習の定義

• それを効果的に（より効果的に）実施する方法

• どのようなシナリオが考えられるか

Tabletop Exerciseの定義

Tabletop Exerciseとは、セキュリティチームが緊急時の役割や対応を話し合い、例示的なシナリオを使ってシミュレーションする、非公式なディスカッションです。これは主に、事業継続計画をテーブルの上に出し、模擬的な緊急事態を通じてその有効性を検証する良い機会です。

「自社のサイバーリスクに健全な敬意を持つ企業は、Tabletop演習を実施しています」と、テクノロジーコンサルティング会社Woodruff SawyerのシニアVP兼National Cyber Practice LeaderであるDan Burke氏は述べています。「インシデント対応計画を作成することは有益ですが、この戦略をテストして初めて実践的な洞察や経験値が得られるのです」とも付け加えています。

効果的なセキュリティTabletop演習のための10のヒント

Tabletop Exerciseをできるだけ効果的に実施するためには、いくつか注意すべき点があります。どのような点か、複数のセキュリティ専門家や意思決定者に伺いました。

1. カスタマイズする

汎用的な侵害シナリオを使うのは避けましょう。代わりに、自社に特化したシナリオを選ぶべきです。

セキュリティベンダーPositive Technologiesの情報セキュリティアナリティクス部門責任者Evgeny Gnedin氏は、建設的かつ破壊的なアプローチを推奨します。「本当に自社にとってクリティカルな出来事をシミュレーションしてください。経営陣に、会社が本当に恐れていることや、壊滅的な影響を与える可能性のあるシナリオについて尋ねてみてください。」

2. 技術部門以外も巻き込む

ITやセキュリティ部門がTabletop演習を主導することはできますが、参加者は全社から集めるべきです。

ネットワークセキュリティ専門企業NetWitnessのField CTO、Ben Smith氏は次のように述べています。「Tabletop Exerciseには、法務部門、監査部門、マーケティング、カスタマーサポート、人事などの代表者も含めるべきです。なぜなら、復旧フェーズで顧客やパートナー、その他のステークホルダーと接する社員は、何を開示してよいか、何を開示してはいけないかを知っておく必要があるからです。危機時に会社を効果的に代表するために、新たなツールや別のツールが必要になるかもしれません。」

3. 経営陣を巻き込む

Tabletop演習の結果がどうであれ、経営陣が協力しない限り、改善策を実行に移すことはできません。リスクマネジメント企業Pinkertonの副会長Timothy Williams氏も同意見です。「決定的な要素は最上層のリーダーシップ、つまり危機時に最終的な決断を下すか、CEOに提案する人たちです。」

また、Cレベルの幹部がTabletop Exerciseに必ずしも参加しないこともよくある問題です。セキュリティベンダーOptivのエンジニアリングフェローCurtis Fechner氏は、幹部の意識を変える良い戦略を提案します。「実際の緊急事態では彼らの参加が必須であることを思い出させると、参加を促す助けになるかもしれません。」

4. モデレーターを慎重に選ぶ

退屈またはやる気のないモデレーションでは、Tabletop演習は盛り上がりません。

Bytewhisper SecurityのCEO、John Dickson氏はモデレーションの重要性をこう語ります。「優れたモデレーターは、Tabletop演習を楽しく進行し、参加者がリラックスできる雰囲気を作ります。良いトークショーモデレーターのような存在で、基調講演者とは違います。参加者が良い意見を出した場合、実例で裏付ける柔軟性も重要です。」

5. テクノロジーではなく人を試す

Tabletop Exerciseの参加者から、普段使っているテクノロジーがシナリオに含まれていないと批判されることがあるかもしれませんが、それは本質を外れています。

AIセキュリティ専門企業KnosticのCTO、Sounil Yu氏はその理由を説明します。「Tabletop演習の本質的なメリットは、従業員が予期せぬ状況でも確実に行動できるように備えることです。多くの災害シナリオでは、テクノロジーが利用できない場合もあります。対応や復旧時にテクノロジーに過度に依存することは、まさに避けるべきことです。」

6. 現実の脅威とシナリオを結びつける

最新のニュースからCybersecurity Tabletop Exerciseのシナリオを作りたくなるかもしれませんが、より現実的なシナリオを作るために時間と労力をかける価値があります。

「メディア報道を参考にするのは基本的に問題ありません」とOptivの開発スペシャリストFechner氏は認めつつ、「それでも、実際の最新の脅威インテリジェンス――たとえば政府機関やセキュリティベンダーが提供するもの――に基づくべきです」と警告します。

7. 役割を演じる

Cybersecurity Tabletop Exerciseは、ダンジョンズ＆ドラゴンズのようなテーブルトークRPGと密接な関係があります。そして、これらのRPGと同様に、演習の参加者はシナリオ内で与えられた役割になりきるべきです。

モバイル決済サービスCash AppのセキュリティガバナンスパートナーJacob Ansari氏は、視野を広げることも勧めています。「日常業務で慣れた役割をそのまま割り当てるのではなく、役割をシャッフルしてみるのも有効です。これにより、参加者は新たな視点を得ることができ、戦略的な抜け穴を発見し、埋めることができます。」

8. 参加人数を制限する

「多ければ多いほど良い」というのは、Tabletop演習には当てはまりません。

Zurich Global Venturesのサイバーセキュリティ戦略担当VP、Rob Lelewski氏は、人数が多すぎる演習のリスクをこう説明します。「グループが大きくなるほど、無関心や参加意欲の低下が起こりやすくなります。」

そのため、参加者は最大20人までに制限することを推奨しています。

9. 焦らない

明らかかもしれませんが、昼休みにサクッとSecurity Tabletop Exerciseをやるのは良いアイデアではありません。

「1時間で終わらせようとすると、細部を議論する時間がほとんどありません」とFechner氏は結論付けます。「さまざまな気が散る要素を考慮すると、実際の議論に使えるのは20分程度になってしまうでしょう。Tabletop演習には3～4時間の枠を確保することをお勧めします。」

10. 安心して話せる場を作る

Tabletop Exerciseは、長期的なセキュリティレベル向上に不可欠ですが、参加者が「勝つ」ことやミスを弁明する必要があると感じてはいけません。

Ansari氏も認めるように、上司の前で社員が悪く見られたくないのは当然です。「コーディネーターは、社員が自由に行動できるよう明確な基本ルールを設けるべきです。あくまで架空のシナリオであり、計画や教育、調整、その他重要な側面の弱点を明らかにすることが目的です。」

Tabletopシナリオ例4選

Tabletopシナリオは、前述の通り、理想的には自社の特有の懸念に基づくべきです。それでも、いくつかのセキュリティ専門家に例を挙げてもらいましたので、どのようなものかイメージを掴んでいただければと思います。ここから自社向けのTabletopシナリオ作成のヒントを得てください。

1. ゼロデイ脆弱性

セグメント1： 社員が、必須のセキュリティトレーニングへの参加を促すメール内のリンクをクリックします。リンク先のウェブサイトで認証情報を入力しますが、メールを見直すと奇妙な書式やスペルミス、「このメールは社外から送信されました」というバナーに気付きます。その後、PCの動作が急に遅くなり、社員は定められた手順に従いインシデント対応（IR）チームに連絡します。IRチーム役の参加者は、これにどう対応するかを説明します。

セグメント2： フィッシングメールに記載されたウェブサイトは、東欧のIPアドレスと関連があることが判明します。このホストは、社内でよく使われるソフトウェアパッケージ（仮名：Acme123）に関連するプロトコルをスキャンし、そのサーバーとやり取りしていたようです。

セグメント3： マルウェアのコールバックパターンを示すデータトラフィックが、Acme123サーバーから今度はアジアの別のIPに送信されています。突然、Acme123のゼロデイ脆弱性が公表されます。

セグメント4： サーバーの一台で、ゼロデイ脆弱性を悪用する新たなマルウェアの兆候が見つかりますが、データが流出したかは不明です。チームはフォレンジック調査、社員への通知、法執行機関や関係する顧客・経営陣への連絡・報告を行う必要があります。

2. サプライチェーン攻撃

セグメント1： ある企業の営業部門が、新しいリード管理用ソフトウェアツールを導入します。これはベンダー提供の仮想マシン上にオンプレミスでインストールされます。ベンダーに対するデューデリジェンスは省略され、営業部門の責任者が承認しました。ツール導入後数週間で、アカウントロックやパスワードエラーに関するユーザーからの苦情が増加。さらに、複数のワークステーションで暗号化されたPowerShellアクティビティの警告が出ています。

セグメント2： チームのセキュリティアナリストが、数ギガバイトもの暗号化データがロシアのVPSに送信されていることを発見。他にもMimikatzやSecretsdumpなどのツールに関するアラートが出現。exfil.zipというファイルが、研究開発チームが業務で使う共有フォルダと同じ階層に現れています。

セグメント3： ニュースサイトで、リード管理ツールが国家系アクターにより侵害され、ドメイン生成アルゴリズムを使ってアウトバウンドポート443を制御するバックドアが仕込まれていることが報じられます。攻撃者は業界特有の情報を狙っており、ランサムウェアキャンペーンとは無関係とされています。

3. ランサムウェア攻撃

セグメント1： 企業が標準的なランサムウェアに感染し、ほとんどのエンタープライズシステムが被害を受け、48時間以内に年間売上の1％の支払いを要求されます。（このシナリオでは、指定時間内に対応を決定する必要があります）

セグメント2： セグメント1での対応に関わらず、ランサムウェア攻撃者はさらに状況をエスカレートさせ、機密データを公開し、要求に応じなければ（または再度支払わなければ）さらなる公開を行うと脅します。

セグメント3： 攻撃者が盗んだデータを使って、企業の顧客を攻撃し、大規模な情報漏洩が発生したことが判明します。

セグメント4： 政府機関が調査を開始。ランサムウェア攻撃者が制裁対象であることが判明し、危機のさなかにある企業はさらに大きな問題に巻き込まれます。

4. 化学事故

セグメント1： 企業本社から2km離れた化学工場で爆発が発生。地元メディアは、化学会社の従業員が不明数負傷または死亡したと報道。関係当局は、どれだけの有毒ガスが空気中に放出されたかを調査中。爆発の原因は不明。

セグメント2： 地域の病院は呼吸器系の症状を訴える患者で溢れています。保健当局は、地域住民全員に「シェルターインプレイス」を求めています。本社は爆発現場の近隣にあり、社員にどう指示すべきか決断を迫られます。社員に地域から出ないよう指示できるかどうかは不明。テロによる爆発ではないかという憶測も出始めています。

セグメント3： 会社は社員に建物から出ないよう要請しますが、多くは家族の心配から外に出てしまいます。警備担当者は、会社のロビーに避難しようとする人々にどう対応すべきかを知りたがっています。

セグメント4： 直接的な危険は去り、当局は爆発が事故だったと発表。複数の社員が病院に搬送されました。（fm）

ITセキュリティに関する他の興味深い記事も読みたいですか？無料ニュースレターで、セキュリティ意思決定者や専門家が知っておくべき情報をすべて、あなたの受信箱にお届けします。