一年で最も素晴らしい季節がやってきました……企業のセキュリティ責任者がテーブルトップ演習を実施し、想定上のサイバー攻撃やその他の緊急事態をシミュレーションし、インシデント対応プロセスを一通り確認し、デジタル災害が起きたときに備えて準備状況を確実にするために対応を訓練する季節です。
「最終的に私たちがテストしているのは、組織がどれだけレジリエントかという点です」と、パロアルトネットワークスのチーフ・セキュリティ・インテリジェンス・オフィサーであるウェンディ・ウィットモアはThe Registerのインタビューで語った。「攻撃されるかどうかではなく、こうした攻撃にどれだけ迅速に対応し、封じ込められるかです。」
そして今年、組織はAIのスピードを考慮に入れる必要があります。つまり、攻撃者がこれらのツールを使ってバグを見つけて悪用するという意味でも、防御側が対応にAIを活用できるという意味でも、です。
「脅威アクターはAIによってCVEをより高い割合で悪用しています」と、Google CloudのOffice of the CISOで公共部門アドバイザーを務めるエンリケ・アルバレスはThe Registerに語った。「テーブルトップ演習では、社内で使用しているソフトウェアシステムに影響するCVEが公開され、サイバー敵対者によって即座にエクスプロイトされる、というシナリオを考慮すべきです。」
ウィットモアによれば、同社の脅威アナリストは、脆弱性が公開されてから5分以内にエクスプロイトが試みられるのを目にしているという。
「防御側、たとえば私たち自身のSOCでは、1日に900億件の攻撃イベントが入ってきます。それを相関付けされた2万6,000件まで集約し、さらに人間の手作業による介入が必要なものは1日1件で、ティア3のアナリストが深掘りして追加のクエリや分析を行います」と彼女は付け加えた。
実際、2025年が何かを教えてくれたとすれば、それは犯罪者や国家支援の脅威アクターがますますAIを武器庫に加えている一方で、企業のAI利用が攻撃対象領域を大幅に拡大しているということだ。
攻撃者側から見れば、これはより標的化され、説得力のあるフィッシングメール、脆弱性を見つけるためのより高速な偵察とスキャン、そして素早くスキャンして盗み出せる機微データの山を意味する。一方、防御側は、LLMが漏えいしないこと、そしてAIエージェントが本来アクセスすべきでないデータにアクセスしていないことを確実にする必要がある。
The Regは、AIが生成した、あるいはAIに支援された攻撃が増える中で年末のテーブルトップ演習におけるベストプラクティスについて、また社内のAIシステムやモデルを保護するための対策について、複数のインシデント対応者に意見を求めた。
テーブルトップ演習はいま、2つの現実を反映する必要がある。攻撃者がAIを使ってより速く、より静かに、そして大規模に動くこと、そして私たちが導入するAIシステム自体が攻撃対象になっていることだ
「テーブルトップ演習はいま、2つの現実を反映する必要があります。攻撃者がAIを使ってより速く、より静かに、そして大規模に動くこと、そして私たちが導入するAIシステム自体が攻撃対象になっていることです」と、Microsoftの脅威防御研究担当VPであるタンメイ・ガナチャリヤはThe Registerに語った。
「最良の演習は、適応的でAI駆動のフィッシングや、急速に展開する攻撃チェーンをシミュレートすると同時に、プロンプトインジェクション、誤設定、AI主導のデータ流出といったAIシステムを狙うシナリオにもチームを備えさせます」とガナチャリヤは述べた。「目的は、より迅速な意思決定をリハーサルし、低信頼環境で情報を検証し、AIがキルチェーンの各段階をどう変えるのかをチームが理解することを確実にすることです。」
最終的に、これらの演習の目的は、C-suiteと技術対応者の双方に起こり得ることを教育し、さまざまなセキュリティシナリオに対する対応を練習しながら改善点を特定することにある。
「筋肉記憶を作り、良いプロセスを持ち、そのプロセスに沿って実行できることを確実にするのと同じくらい、教育でもあります」と、GuidePointのデジタル・フォレンジック/インシデント対応および脅威インテリジェンス担当VPであるマーク・ランスはThe Registerに語った。「たとえば、経営層がランサムウェアについて学ぶと、たいてい『これについて、そしてそれに伴う潜在的なリスクや脅威について、より理解できた』と言って終わります。」
AIでAIと戦う
組織がAI関連の脅威の流入を織り込む方法の一つは、AIを使ってシナリオを作成することだと、Google CloudのOffice of the CISOで医療・ライフサイエンス組織向けのセキュリティアドバイザーを務めるビル・リードは述べた。「AIの偽造をテストしたいなら、作ってテーブルトップ演習で使えばいい」と彼はThe Registerに語った。
演習の作成にAIを使うだけでなく、「演習とその結果を測定し、促進する」ためにもAIを使うべきだと、Google Cloud Office of the CISOの医療・ライフサイエンス部門ディレクターであるテイラー・レーマンは述べた。
「脅威、統制、脆弱性、あらゆる種類の資産、主要リスク、ステークホルダー、顧客ペルソナなど、あなたの環境に関する情報をAIシステムに提示してください。そうすればAIが、非常に意味があり、非常に具体的で現実的なシナリオの作成を支援し、シナリオを磨き上げ、演習の一部として望む特定の種類の成果を出せるようにしてくれます」とレーマンはThe Registerに語った。
他の比較的新しいAI脅威としてはディープフェイクがあり、これは特にGoogle Cloudの金融サービス顧客に影響しているとアルバレスは述べた。このため、金融セクターの多くの組織は、音声と動画の両方のディープフェイクをシナリオに追加している、あるいは追加すべきだという。
「しかし、AI生成攻撃の利用はディープフェイクだけではありません」と、Mandiant Consultingのディレクターであるデビッド・ウォンは述べた。「AIは攻撃ライフサイクルの各段階で使われ、攻撃の量と速度を増大させます。テーブルトップ演習の設計者は、シナリオにおける速度と量に適応しなければなりません。」
ディープフェイクのCEOが送金を要求してきた場合、訓練は検知ソフトの話ではなく、標準的な電話による必須のアウト・オブ・バンド検証を厳密にテストすることにあるべきだ
アルバレスはまた、地元のFBI支局に連絡し、サイバー担当の副特別捜査官(ASAC)に、演習に参加できる捜査官を手配できるか尋ねることも提案している。「これは、将来の参照や連絡のために支局内の窓口を確立する良い方法です」と彼は述べ、C-suite、取締役会メンバー、その他の社内ステークホルダーを含むフルスケールの演習では、CISAにも連絡して参加を検討するとよいと付け加えた。
米国のサイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)も、さまざまな脅威シナリオをカバーする自社演習の実施を支援するために設計された複数の無料リソースを提供している。
Google Cloud Office of the CISOのシニアコンサルタントであるアントン・チュバキンは、「AIにAIを重ねて対抗する」ことについて、アナログ——そして慎重さ——を提唱した。「その代わり、テーブルトップ演習では、敵対者のスピードを断ち切るためにアナログな摩擦を導入することに焦点を当ててください」と彼はThe Registerに語った。「ディープフェイクのCEOが送金を要求してきた場合、訓練は検知ソフトの話ではなく、標準的な電話による必須のアウト・オブ・バンド検証を厳密にテストすることにあるべきです。」
さらに、オンラインのファイルだけに頼らないこと、と彼は付け加えた。「演習では、オフラインのデータのゴールデンコピーと、アルゴリズムではなりすませない堅牢な承認プロセスを活用し、最小限成立する業務運用へ戻す訓練をしなければなりません」とチュバキンは述べた。「画面に表示されるものを信頼できないなら、最強の防御は実はテクノロジーではなくプロセスです。」
誰が参加すべきか?
The Regが話を聞いた専門家は全員、少なくとも年に1〜2回のテーブルトップ演習を推奨し、たとえばC-suiteのリーダーと技術対応者を分けるなど、特定の対象者に合わせて演習を調整することを勧めた。
「私のFBIでの以前の経験から言うと、企業の大多数はテーブルトップ演習を一度も行ったことがありません」とアルバレスは述べた。「良い出発点、あるいは目標は、少なくとも年2回で、2回目のテーブルトップ演習には1回目で得た教訓を取り入れることです。」
ガナチャリヤによれば、参加者はシナリオに応じて変えるべきで、C-suiteは「AI駆動の攻撃が経営レベルの意思決定を要求するため、少なくとも半年に一度は参加すべき」だという。
新しいランサムウェア手順の試行のような技術的ドリルは、セキュリティ運用センター(SOC)とインシデント対応チームだけで足りる場合がある一方、内部漏えいや評判リスクのような影響の大きいシナリオには、法務、PR、人事、そして上級リーダーシップも含めるべきだ。
他の運用リーダーは、狙いを定めたシナリオでより頻繁な演習が必要になる場合があると、ガナチャリヤは述べた。これには、副責任者、部門長、SOCリーダー——経営層が日々の運用を遂行するために頼る人々——が含まれる。
そして、いつものことだが、マーフィーの法則を忘れてはならない。ガナチャリヤの言葉を借りれば、「すべての演習には代替要員を含めるべきです。実際のインシデントは、第一候補の対応者が利用可能なときに起きることはめったにないからです。」 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/26/end_of_year_tabletop_exercises/
