Cyderとセキュリティ

実践的サイバー防御演習「CYDER」を受講しました。
CYDERとは、国立研究開発法人情報通信研究機構(NICT)が主催する体験型の演習です。
CYDER＝Cyber Defense Exercise with Rescurrence

具体的な演習内容については機密となっていますので、今回のコラムではプラスエスが感じたことや習得した内容を紹介します。

CYDER受講申込みをしますと、まずは事前オンライン学習でセキュリティインシデント対応の基礎を学びます。
約3時間のe-Learningで確認テストもあります。
情報処理安全確保士の資格を保有していますが、事前オンライン学習は復習も兼ねることができる良い機会となりました。

さて演習本番の日を迎えます。
約35名の参加者は8つのチームに分かれて、仮想組織の情報システム担当として演習を行います。
プラスエスのチームは4名で、国立学校の教員、警察当局の方々がメンバーです。
参加者は行政職員の方がほとんどで、民間からの参加はプラスエスのみでした。

演習概要は「Emotetを発火点とした横展開先のWeb管理者の端末からWebが改ざんされる事案におけるインシデントハンドリング」です。
演習によるインシデントハンドリングは下記のような流れで行われました。

《検知・連絡受付》

インシデント第一報や検知の予兆からインシデントレスポンスのスタートとなります。
正しい発信源からの通報であるかが確認することが重要視されます。
PoC(Point of Contact)と言われる統一窓口を周知しておくことが必要です。

《トリアージ》

ヒアリングやログ解析などでの事実関係の確認を行った結果、対処の優先順位を付けます。
ヒアリングに抜けが無いように、事前に5W1Hヒアリングシートの準備をしておきます。

《インシデントレスポンス》

初動対応では、対応方針の決定や証拠保全を行います。
特に証拠保全は原因の究明には不可欠な要素ですので、そのままの状態での情報確保が重要です。

引き続き、封じ込めと根絶の対処を行い、最終的には復旧措置、再発防止策の検討を実施します。

《報告・公表》

インシデントの被害状況や影響範囲に応じて報告・公表を行います。
特に情報漏えいがあった場合には、監督官庁や所轄の警察への届けが必要になります。

《事後対応》

インシデントに関わったすべての関係者が参加して、「振り返り」を実施します。
インシデント収束後、約1ヵ月をめどに行うのが一般的です。

演習では時間に迫られた中での判断が必要になり、なかなか思うように進めることができませんでした。
実際のインシデント発生現場でも、演習同様に原因がつかめないままに対策を打って行かなければならない状況となりますので、正解のないまま収束を目指すことになります。
演習を繰り返すことによって、刻一刻と進んでいくタイムラインへの慣れや対処法ノウハウの蓄積によって、より早い収束を迎えることができると感じました。

機会がありましたら、何度でも参加したいトレーニングです。

CYDERに詳細については下記リンクをご参照ください。

CYDERサイト
⇒ https://cyder.nict.go.jp/

CYDER紹介動画
⇒ https://cyder.nict.go.jp/files/NICT_CYDER_20200717_720P.mp4/