サイバー演習の有効性－レジリエントな組織づくりに向けて－

Size: px

Start display at page:

Download "サイバー演習の有効性－レジリエントな組織づくりに向けて－"

しょうすけいなくら
4 years ago
Views:

1 Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, =office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : :52:03 +09'00' サイバー演習の有効性レジリエントな組織づくりに向けて国立大学法人名古屋工業大学青山友美

2 2/12/ 自己紹介青山友美名古屋工業大学大学院博士前期課程 2 年 TUV SUD GmbH ( ドイツ ) インターンシップ 8 ヶ月消費者製品向け機能安全標準に関わる業務 ENCS European Network for Cyber Security ( オランダ ) インターンシップ 6 ヶ月重要インフラむけセキュリティ演習のファシリテーションに参加

3 2/12/ 当セッションの目的 ICS セキュリティに関連する演習の紹介レジリエンスの視点からの演習の比較演習に何を効果として求めるべきか? 演習の成果をどのように持ち帰るべきか?

4 2/12/ 演習から何を学ぶ? セキュリティレジリエンス重要インフラ防護の目的重要インフラにおけるサービスの持続的な提供を行い自然災害やサイバー攻撃等に起因する IT 障害が国民生活や社会経済活動に重大な影響を及ぼさないよう IT 障害の発生を可能な限り減らすとともに IT 障害発生時の迅速な復旧を図ることで重要インフラを防護する NISC 重要インフラの情報セキュリティ対策に係る第 3 次行動計画 (2014)

5 2/12/ 演習から何を学ぶ? 大統領決定 (PDD)21 号 (2013): 重要インフラのセキュリティとレジリエンス ( 柔軟性 ) 強化に向けた作業項目の策定 Presidential Policy Directive PPD 21 (2013)

6 2/12/ セキュリティとレジリエンスセキュリティとは侵入攻撃または天災人災の結果に対する物理的手段または防衛サイバー対策によって重要インフラへのリスクを低減することレジリエンス ( 柔軟性 ) とは状況の変化に備え適応し混乱に耐えて急速に回復する能力を意味するレジリエンスには意図的な攻撃事故及び自然発生的な脅威またはインシデントに耐え回復する能力が含まれる Presidential Policy Directive PPD 21 (2013)

7 2/12/ つまり? セキュリティインシデントの発生するリスクを減らす = 強い城壁を作りましょうレジリエンスインシデントに対応する力 = 強い組織を作りましょう今回はレジリエンスの観点から各演習に期待される学習効果を検証する

8 2/12/ レジリエンスをつくるにはレジリエンスエンジニアリングの考え方 (Resilience Engineering)

9 2/12/ レジリエンス 4 つの要因対処能力 Respond 監視能力 Monitor 予見能力 Anticipate 学習能力 Learn 混乱外乱にどのように対処すべきかを知っている直近の脅威またはそれになり得るものをどのように監視すべきか知っている未来に生じる変化混乱圧力およびその結果もたらされる事象の進展脅威をどのように予見するべきか知っている成功失敗事例からどのように教訓を得るのかを知っている

10 2/12/ 演習から学べるレジリエンス対処能力 Respond 監視能力 Monitor 予見能力 Anticipate 学習能力 Learn 混乱外乱にどのように対処すべきかを知っている直近の脅威またはそれになり得るものをどのように監視すべきか知っている未来に生じる変化混乱圧力およびその結果もたらされる事象の進展脅威をどのように予見するべきか知っている成功失敗事例からどのように教訓を得るのかを知っているインシデント対応手順異常検知セキュリティ脅威に関する知見振り返り学習

11 2/12/ 今回比較する演習 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

12 2/12/ 演習の種類

13 2/12/ NIST Special Publication による演習区分トレーニング演習テスト机上演習機能演習緊急時対応計画やコンピュータセキュリティインシデント対応計画などの IT 計画を実行する上で例えば計画における役割と責任を果たせるよう担当者のトレーニングを行ったり内容を検証するために計画の実施演習を行ったり計画に指定されている運用環境でシステムとシステム構成要素の運用性を確認するテストを実施するといった準備 (TT&E/Test, Training and Exercise) がなされているべきてある机上演習は議論ベースの演習で緊急時の役割やある特定の緊急事態への対応策を議論する形をとる機能演習を実施することでスタッフは実際の緊急事態における役割と責任をシミュレーション環境のなかで実践することが可能となる NIST SP IT 計画および IT 能力のためのテストトレーニング演習プログラムのガイト

14 議論ベースの演業ベースの演習2/12/ HSEEP(Homeland Security Exercise and Evaluation Program) による演習区分机上演習 (TTX) *Table Top Exercise 機能演習 (FE) *Functional Exercise ゲーム意思決定能力測定型訓練 ( ドリル ) 手順確認型習作ワークショップ意見交換型セミナー ( 座学 ) 情報付与型総合演習 (FSE) *Full Scale Exercise 議論ベースの演習ではファシリテーターおよびプレゼンターが議論の進行を務め参加者が演習の目的に向かって議論を進めるよう働きかける作業ベースの演習において参加者は演習のシナリオに対し情報伝達や人的資源管理など実際の行動によって反応する Homeland Security Exercise and Evaluation Program

15 議論中心の演業中心の演習2/12/ NIST Special Publication による演習区分トレーニング演習テスト机上演習機能演習ゲーム訓練 ( ドリル ) 習作ワークショップセミナー総合演習 HSEEP(Homeland Security Exercise and Evaluation Program) による演習区分

16 論中心の演習の演習議2/12/ NIST Special Publication による演習区分トレーニング演習テスト机上演習ゲームワークショップ機能演習訓練 ( ドリル ) 作業中心セミナー総合演習本日紹介するのはこの4 種類に区分される演習です HSEEP(Homeland Security Exercise and Evaluation Program) による演習区分

17 2/12/ 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

18 2/12/ INL アイダホ国立研究所 Source:

ENCS 2/12/2015 19 European Network for Cyber Security Source: https://education.encs.

19 ENCS 2/12/ European Network for Cyber Security Source:

2/12/2015 20 QUT クイーンズランド工科大学 Source: https://www.qut.edu.

20 2/12/ QUT クイーンズランド工科大学 Source:

21 ENCS / INL / QUT 2/12/ Red team Blue team 型演習主催者開催地国都市 INL (Idaho National Lab.) アイダホ国立研究所 ENCS (European Network for Cyber Security) QUT (Queensland University of Tech.) クイーンズランド工科大学米国アイダホ州オランダハーグオーストラリアブリスベン主催機関 ICS-CERT 研究機関大学講師専属講師研究者研究者 + 招待講演者 ( ベンダーセキュリティ企業等 ) 開催頻度 2 ヶ月に 1 度半年に 1 度年に 1 度教授 (IT セキュリティ )

ENCS / INL / QUT 2/12/2015 22 Red team Blue team

22 ENCS / INL / QUT 2/12/ Red team Blue team 型演習 Blue Team 防御チーム 20 名程度シナリオ化学製品を生産するプラント参加者がそれぞれマネージャー IT 管理者オペレータなどの役職を演じる Red Team 攻撃チーム 10 名程度シナリオブルーチームの敵対企業に雇われたハッカー集団生産の妨害システムの破壊が最終目的

ENCS / INL / QUT 2/12/2015 23 Red team Blue team 型演習日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ 3 5 日座学 + 作業演習 20-30 名 IT/ 制御 /

23 ENCS / INL / QUT 2/12/ Red team Blue team 型演習日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ 3 5 日座学 + 作業演習名 IT/ 制御 / マネジメント総合演習敵対型フルスケール仮想企業参加者の自由 ENCS 演習紹介ビデオより長所短所フルスケールに再現されたネットワーク構成での実戦参加者によって学習効果にばらつき

24 ENCS / INL / QUT 2/12/ Red team Blue team 型演習インシデント対応手順意思決定層の対応手順 IT 技術の対応手順を仮想企業において体験インシデント対応におけるコミュニケーション異常検知 IT 技術による異常検知手法攻撃者の視点でネットワークの脆弱性を探す視点セキュリティ脅威に関する知見攻撃視点防御視点の両方からインシデントを経験インシデント発生によって社内に起こり得るトレードオフ ( セキュリティ vs 生産性効率 vs 完璧さ ) を体験

25 2/12/ 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

:2013 年度に実施したサイバーセキュリティ演習の概要説明資料より http://www.

26 サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター演習の構成トリガー ( 引き金 ) イベントシステム異常の発生調査復旧種明かし対策案 2/12/ 写真 :2013 年度に実施したサイバーセキュリティ演習の概要説明資料より

サイバーセキュリティ演習 2/12/2015 27 CSSC 制御システムセキュリティセンター日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ 2 日座学 + 機能演習 20-30 名ガス化学ビル電気事業者防御デモを 5

27 サイバーセキュリティ演習 2/12/ CSSC 制御システムセキュリティセンター日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ 2 日座学 + 機能演習名ガス化学ビル電気事業者防御デモを 5 シナリオ実機 ( オペレーション部分のみ ) 仮想ガスプラント会社段階的に指示 CSSC 演習紹介ビデオより長所短所オペレーション機能に集中した演習演習後各社毎に有識者との個別議論有り参加対象分野に制限

28 2/12/ サイバーセキュリティ演習 CSSC 制御システムセキュリティセンターインシデント対応手順オペレータ層のインシデント対応手順をデモプラントで体験異常検知オペレータによる異常の検知方法セキュリティインシデントとセーフティインシデントの見え方の違いセキュリティ脅威に関する知見攻撃の侵入経路攻撃のバリエーション効果的な対策手法

29 2/12/ 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

30 2/12/ 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催コントローラ所管省庁セプター NISC 状況付与サブコントローラ全体会合参加企業助言者関連機関機能演習写真 :2014 年演習より

2/12/2015 31 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催日程コース構成 1 日機能演習参加者数 348 名 (94 組織 ) 参加対象者演習タイプ演習環境シナリオアクティビティ長所短所重要インフラ 13 分野防御

31 2/12/ 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催日程コース構成 1 日機能演習参加者数 348 名 (94 組織 ) 参加対象者演習タイプ演習環境シナリオアクティビティ長所短所重要インフラ 13 分野防御 2 シナリオ連絡ツールのみ実機自社自役職参加者の自由分野横断した情報共有練習サブコントローラによるシナリオ調整内閣サイバーセキュリティセンター公式アカウントより達成目標シナリオの再現度の設定は参加者次第

32 2/12/ 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催インシデント対応手順自社で取り決められている意思決定層の対応手順情報共有体制の実効性を検証事業継続計画の発動方法やその手順を確認異常検知 ( 参加者側からアクティブに異常検知をして発信することはない ) セキュリティ脅威に関する知見状況が次第に明らかになっていく過程でシステムへの影響や被害の及ぶ範囲を想像する

33 2/12/ 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

34 2/12/ Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 企業 A コントローラ参加者攻撃者企業 B 助言者助言者参加者攻撃者参加者は攻撃に対する技術対応に加えてコントローラの指示によって議論も行う

35 2/12/ Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ長所短所 1 日機能演習と机上演習の組み合わせ最大 2 グループ 10 名程度 IT 管理者防御チーム IT 部分実機仮想企業段階的に指示チームごとに助言者がつき議論をサポートインシデント対応の手順を段階的に体験 IT 管理者に限定制御システム系のインシデントでない

36 2/12/ Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC インシデント対応手順 IT 管理者の技術的対応手順を指示を受けながら学ぶ関連機関との情報共有の重要性を学ぶ異常検知 ( 参加者側からアクティブに異常検知をして発信することはない ) セキュリティ脅威に関する知見 APT( 標的型攻撃 ) の攻撃手法を体験する攻撃トレンド情報などから自社で起きているインシデントの全体図を想像する

37 2/12/ 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

38 Kaspersky Lab 2/12/ KIPS Kaspersky Industrial Protection Simulation 目標 : 企業の IT スペシャリストとしてセキュリティを強化しながら売り上げを伸ばすメッセージフェーズ業界ニュース社内メッセージなど対策が必要かどうか各チームで判断アクションフェーズチームで話し合い選択するカードを決定する生産フェーズシナリオに沿って選択したカードの効果影響が売り上げ高攻撃の進捗度に表れる全部で 5 ターン繰り返す

Kaspersky Lab 2/12/2015 39 KIPS Kaspersky Industrial Protection Simulation

防御シナリオボードカードゲーム仮想企業カードから選択簡単にサイバー攻撃を体験スコア ($) によるわかりやすいフィードバック

39 Kaspersky Lab 2/12/ KIPS Kaspersky Industrial Protection Simulation 日程コース構成参加者参加対象者演習タイプ演習環境シナリオアクティビティ長所短所 2 時間程度ゲーム 12 名 (4 チーム ) より誰でも可能防御シナリオボードカードゲーム仮想企業カードから選択簡単にサイバー攻撃を体験スコア ($) によるわかりやすいフィードバック対策の選択はカードからの選択に限られる KIPS 紹介ビデオより

40 2/12/ Kaspersky Lab KIPS Kaspersky Industrial Protection Simulation インシデント対応手順カードから選んだ対策の効果が次のターンでシステムへ反映される異常検知業界ニュースなどとして入って来る情報からサイバー攻撃の可能性を想像するシステム監査カード導入のタイミングセキュリティ脅威に関する知見セキュリティ対策の導入と生産のバランスを考える

41 2/12/ まとめ演習によって学べる知識スキルは異なる攻撃手法インシデントハンドリング手順演習内で行う活動意思決定も異なる IT/ オペレータ技術対応事業継続計画議論この演習を受けておけば対策は完璧ということはない

42 2/12/ 総括 ENCS / INL / QUT CSSC NISC JPCERT/CC Kaspersky Lab 意思決定層の対応手順 IT 技術の対応手順を仮想企業において体験オペレータ層のインシデント対応手順をデモプラントで体験 IT 管理者の技術的対応手カードから選んだ対策の効自社で取り決められている順を指示を受けながら学果が次のターンでシステム意思決定層の対応手順ぶへ反映されるインシデント対応手順インシデント対応におけるコミュニケーション情報共有体制の実効性を検証関連機関との情報共有の重要性を学ぶ事業継続計画の発動方法やその手順を確認異常検知 IT 技術による異常検知手法 ( 参加者側からアクティブオペレータによる異常の検に異常検知をして発信す知方法ることはない ) セキュリティインシデントと攻撃者の視点でネットワーセーフティインシデントのクの脆弱性を探す視点見え方の違い攻撃視点防御視点の両方からインシデントを経験攻撃の侵入経路 ( 参加者側からアクティブに異常検知をして発信することはない ) 状況が次第に明らかになっていく過程でシステ APT( 標的型攻撃 ) の攻撃ムへの影響や被害の及ぶ手法を体験する範囲を想像する業界ニュースなどとして入って来る情報からサイバー攻撃の可能性を想像するシステム監査カード導入のタイミングセキュリティ対策の導入と生産のバランスを考えるセキュリティ脅威に関する知見インシデント発生によって社内に起こり得るトレードオフを体験攻撃のバリエーション攻撃トレンド情報などから自社で起きているインシデントの全体図を想像する効果的な対策手法

43 2/12/ 演習は PDCA サイクルのドライバー課題を抽出する場 CSSC 制御システムセキュリティセンター気づきを得る場 NISC 内閣サイバーセキュリティセンター演習成果を自社に持ち帰る自社の体制を自己評価する

44 実はもう一つ演習から学べるレジリエンス 2/12/ 対処能力 Respond 監視能力 Monitor 予見能力 Anticipate 学習能力 Learn 混乱外乱にどのように対処すべきかを知っている直近の脅威またはそれになり得るものをどのように監視すべきか知っている未来に生じる変化混乱圧力およびその結果もたらされる事象の進展脅威をどのように予見するべきか知っている成功失敗事例からどのように教訓を得るのかを知っているインシデント対応手順異常検知セキュリティ脅威に関する知見振り返り

45 2/12/ 振り返りの時間の重要性どの演習においても演習終了後にファシリテータ参加者全員で演習の振り返り ( デブリーフィング ) を行う振り返りは答え合わせではなく演習での体験を知識に落とし込む作業ファシリテータモデルシナリオの意図通りの学習目的が達成されているかを確認参加者体験した事象 ( 主観的な経験 ) をシェアする他の参加者の体験を聞くことで共通の教訓を得る

46 演習主催者側演習の実施形態シナリオを計画計画 Plan 2/12/ 演習の実施振り返りから次のステップへ演習目的検証されるべき課題を抽出抽出 Act 実施 Do シナリオ課題設定演習方法の評価評価 Check ファシリテータモデルシナリオの意図通りの学習目的が達成されているかを確認

47 演習主催者側演習の実施形態シナリオを計画計画 Plan 2/12/ 演習の実施振り返りから次のステップへ演習目的検証されるべき課題を抽出抽出 Act 実施計画 Do Plan 演習に参加シナリオ課題設定演習方法の評価評価抽出 Check Act 計画 Plan インシデント対応計画を想定想定した計画が十分であったか振り返る抽出 Act 現行のインシデント対応計画の課題を抽出演習参加者側

48 2/12/ 演習の効果演習の場で力試し新しい知識経験を得る様々な角度からレジリエンスを鍛える! 困難に直面する足りない要素に気づく

49 2/12/ 次世代型演習に向かってインシデント対応手順を自社のモノとする演習体験を参加者個人から組織へ展開体験を自社で適用する方策欠如の問題他組織との連携で組織として対応を図る自社能力 ( インシデント対応 BCP) の客観的評価の問題異常検知を網羅する異常検知能力の向上安全に関わるサイバーインシデントに気付く能力構築の問題異常検知範囲の拡大安全に関わるサイバーインシデントに気付くスタッフの教育問題セキュリティ脅威に関する知見の拡充攻撃者の視点 ( 思考 ) を勘案した対抗処置攻撃者の心理 ( ストレス ) を勘案した対抗処置攻撃者の技術を勘案した対抗処置

50 2/12/ 青山友美ご静聴ありがとうございました

ログを活用したActive Directoryに対する攻撃の検知と対策

ログを活用したActive Directoryに対する攻撃の検知と対策電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, Japan Computer Emergency Response email=office@jpcert.or.jp, o=japan Computer Emergency Response Team

サイバー演習の有効性 －レジリエントな組織づくりに向けて－

サイバー演習の有効性－レジリエントな組織づくりに向けて－