サイバー演習の有効性 -レジリエントな組織づくりに向けて-

Similar documents
ログを活用したActive Directoryに対する攻撃の検知と対策

制御システムセキュリティアセスメントサービス

あなたも狙われている!?インターネットバンキングの不正送金とマルウエアの脅威

(2) 事業の具体的内容本事業は 次に示す 1~3 の内容について 経済産業省との協議の上 事業を実施する 1 インシデント対応等 企業等の組織内の情報の窃取やサービス運用妨害等を目的とするサイバー攻撃等のインシデントに関する対応依頼を受け付け 国内外の CSIRT 等と連携し 迅速かつ円滑な状況把

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

JICA 事業評価ガイドライン ( 第 2 版 ) 独立行政法人国際協力機構 評価部 2014 年 5 月 1

Japan Computer Emergency Response Team Coordination Center インシデントレスポンス概論 JPCERT コーディネーションセンター山賀正人 2003/11/ JPCERT/CC

組織内CSIRTの役割とその範囲

レジリエンスの取り組みに 関わるディスカッション

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

Himawari の異常な暗号

PowerPoint プレゼンテーション

Javaセキュアコーディングセミナー東京 第2回 数値データの取扱いと入力値の検証 演習解説


技術流出防止指針公表用.PDF

0ミ0、0・タ

NTTannual2015.indd

JPCERT/CCインシデント報告対応レポート[2015年4月1日 ~ 2015年6月30日]

中小企業向け サイバーセキュリティ対策の極意

<4D F736F F D A8D CA48F43834B C E FCD817A E

4 研修について考慮する事項 1. 研修の対象者 a. 職種横断的な研修か 限定した職種への研修か b. 部署 部門を横断する研修か 部署及び部門別か c. 職種別の研修か 2. 研修内容とプログラム a. 研修の企画においては 対象者や研修内容に応じて開催時刻を考慮する b. 全員への周知が必要な

資料 4 ドイツ フィンランドにおける国土強靱化の取り組み ドイツ フィンランド出張報告期間 : 平成 27 年 10 月 28 日 ~11 月 5 日

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

平成 29 年 4 月 12 日サイバーセキュリティタスクフォース IoT セキュリティ対策に関する提言 あらゆるものがインターネット等のネットワークに接続される IoT/AI 時代が到来し それらに対するサイバーセキュリティの確保は 安心安全な国民生活や 社会経済活動確保の観点から極めて重要な課題

参考資料 1-1 本年次報告の位置付け サイバーセキュリティ戦略 (2015 年 9 月 4 日閣議決定 ) に基づく二期目の年次報告 2016 年度のサイバーセキュリティに関する情勢及び年次計画に掲げられた施策の実施状況を取りまとめたもの ウェブアプリケーション (Apache Struts 等

PowerPoint プレゼンテーション

untitled

セキュリティ侵害のリスクの現状・動向

組織内CSIRT構築の実作業

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針 平成 2 8 年 1 月 2 5 日サイバーセキュリティ戦略本部決定 1 更なる機能強化の必要性 我が国のサイバーセキュリティの確保に関しては 平成 27 年 1 月 サイバーセキュリティ基本法 ( 以下 基本法 という ) の全面施

( 本ページは白紙です )

鉄道分野における制御システムセキュリティ対策の検討

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

情報共有の流れと目的 情報共有の基本的な流れ 参加組織 攻撃を検知 IPA へ情報提供 目的 IPA 分析 加工 ( 匿名化など ) 情報共有 結果の共有 1 類似攻撃の早期検知と被害の回避 2 攻撃に対する防御の実施 3 今後想定される攻撃への対策検討 標的型攻撃メールを当面の主対象として運用中

Microsoft PowerPoint - 03_参考資料

1 BCM BCM BCM BCM BCM BCMS

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

<4D F736F F F696E74202D A B837D836C CA48F435F >

éłƒè¨‹è¡¨ï¼‹äº‰æ¥�曕;3ã†¤å’‹ã‡‘ã†łã†¦.xlsb.xlsx

各部会の活動状況予定200505

目次 1.ITの進歩が生み出すクラウドの機会と脅威 2. 現時点でのクラウドへの期待と不安 3. ではどのようにクラウドを利用すればよいか 4. クラウドの今後の行方は? 1

PowerPoint プレゼンテーション

AAプロセスアフローチについて_ テクノファーnews

大塚製薬(株)佐賀工場

日本企業のCSIRT実例紹介

E 年 2 月 26 日 サービス & セキュリティ株式会社 e-gate センター サプライチェーン攻撃の脅威と対策について 1. 概要 サプライチェーン攻撃のリスクはかねてから指摘されていました 経済産業省が 2015 年に公表した サイバーセキュリティ経営ガイドライン


内部統制ガイドラインについて 資料

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

PowerPoint プレゼンテーション

ICT-ISACにおけるIoTセキュリティの取組について

事業戦略の計画実践を支援する プロジェクト思考開発研修 リーダー研修概要 2004 年 本資料は以下の利用条件を十分ご確認の上ご利用ください 1. 本資料に関する著作権 商標権 意匠権を含む一切の知的財産権は株式会社スプリングフィールドに所属しています 2. 株式会社スプリングフィールドの事前の承諾

プロダクトオーナー研修についてのご紹介

No. 箇所 頁 団体名 御意見 御意見に対する考え方 修正 4 Ⅲ 全国銀 11 行協会 内部統制 の一般的な定義に鑑みると 内部統制を図るための取組 として ペネトレ ション が例示されている点には違和感がある 例えば ペネトレ ションテスト を独立して記述することを検討いただきた

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

TCG JRF 第 6 回公開ワークショップサイバーセキュリティの脅威動向 と取り組み 2014 年 12 月 3 日 (13:30-14:00) JPCERT コーディネーションセンター 理事 分析センター長真鍋敬士

資料 6 クラウドサービスで発生しているインシデントについて 2012 年 3 月 19 日 川口洋, CISSP 株式会社ラックチーフエバンジェリスト lac.co.jp 平成 23 年度第 3 回学術情報基盤オープンフォーラム

p...{..P01-48(TF)

TLPT の G7 基礎的要素 はさまざまな TLPT の手法の互換性を高めることを 目指すものであり 既存のフレームワークを無効化したり 変化する脅威状況 へ継続的に適応することを妨げるものではない TLPT とは? TLPT 1 は ( 金融機関の ) コントロール下において 実在の攻撃者の戦術

2014 年 3 月 13 日 独立行政法人情報処理推進機構 (IPA) 制御システムのセキュリティ評価に関する EU レベルでの連携体制の確立 本概要は 欧州ネット 情報セキュリティ機関 (ENISA:European Network Information Security Agency) が発

ここに議題名を入力

Microsoft PowerPoint - IncidentResponce

資料 4 サイバーセキュリティ協議会について 資料 4-1 サイバーセキュリティ協議会について ( 概要 ) 資料 4-2 サイバーセキュリティ協議会について

(2) 情報資産の重要度に応じた適正な保護と有効活用を行うこと (3) 顧客情報資産に関して 当法人の情報資産と同等の適正な管理を行うこと (4) 個人情報保護に関する関係法令 各省庁のガイドライン及び当法人の関連規程を遵守すると共に これらに違反した場合には厳正に対処すること ( 個人情報保護 )

ã•⁄社僖çfl¨ã‡¢ã…³ã‡±ã…¼ã…‹ 2018ã••11朋.xls

スライド 1

KSforWindowsServerのご紹介

Contents P. P. 1

Stuxnet ~制御システムを狙った初のマルウエア~

航空界のCRM

これでスッキリ!!サイバーセキュリティ経営ガイドライン

PowerPoint Presentation

Microsoft PowerPoint - A7_松岡(プレゼン用)jnsa-総会-IoTWG-2015.pptx

ICTを軸にした小中連携

JIS Q 27001:2014への移行に関する説明会 資料1

~この方法で政策形成能力のレベルアップが図れます~

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

サイバー攻撃の現状

の ( 情報通信分野 ) ( 電気通信 ) T- ( 放送 ) 放送における情報共有体制 ( 財 ) マルチメディア振興センター 総務省情報通信政策局地上放送課 1. IT 障害の未然防止 IT 障害の拡大防止 迅速な復旧 IT 障害の要因等の分析 検証による再発防止を図り 電気通信事業者のサービス

2010年2月3日

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

1. サイバーセキュリティの定義は確立されていない サイバーセキュリティ基本法案など 都道府県警察 警視庁ホームページなど サイバーセキュリティ サイバー犯罪 サイバー攻撃 外部からの脅威サイバー空間の話高度なハッキング技術明確な犯意 etc なんとなくのイメージ サイバーテロ 防衛省ホームページな

HIGIS 3/プレゼンテーション資料/J_GrayA.ppt

11. 不測事態 とは 情報セキュリティの確保及び維持に重大な影響を与える災害 障害 セキュリティ侵害等の事態をいう 12. 役職員等 とは 当組合の役員 職員並びにこれに準ずる者( 嘱託職員 臨時職員 パートタイマー アルバイト等 及び当組合との間に委任契約又は雇用契約が成立した者 ) をいう 1

Microsoft Word - 01_LS研IT白書原稿_2012年度_統合版__ _v1 2.doc

平成18年度標準調査票

資料 4 サプライチェーンサイバーセキュリティ等に関する海外の動き 平成 30 年 8 月 3 日経済産業省商務情報政策局サイバーセキュリティ課

<4D F736F F F696E74202D208A438A4F82CC835A834C A CE8DF482CC93AE8CFC82C982C282A282C4>

目次 はじめに 1 1. 事案の状況と本部及び NISC の対応 2 2. 事案に関する技術的検討 ネットワーク構成の確認等 プロキシログの解析等 認証サーバの調査 感染端末に対するフォレンジック調査 攻撃の全体像 10 3.

<4D F736F F D F815B B E96914F92B28DB8955B>

<4D F736F F F696E74202D2091E63389F15F8FEE95F1835A834C A CC B5A8F FD E835A835890A78CE C CC835A834C A A2E >

新入社員フォローアップ研修|基本プログラム|ANAビジネスソリューション

評価することとしているか ( 特定 評価する頻度も含めたその検討プロセス及び結果含む ) 経営陣は 上記に基づき特定 評価した経営上のリスクに関して どのように経営計画及び経営管理に反映しているか ( その検討プロセス及び結果含む ) 財務の健全性を維持 検証するためにどのような社内管理態勢を構築し

平成18年度標準調査票

別添 事業者向け放課後等デイサービス自己評価表 及び 保護者等向け放課後等デイサービス評価表 について 放課後等デイサービスガイドライン ( 以下 ガイドライン ) は 放課後等デイサービス事業所における自己評価に活用されることを想定して作成されたものですが 各事業所で簡易に自己評価を行うことができ

マッシュアップ時代の情報セキュリティの考え方とガイドラインの活用

18 定期的にモニタリンク を行い 放課後等ディサービス計画の見直しの必要性を判断しているか 19 カ イト ラインの総則の基本活動を複数組み合わせて支援を行っているか 20 障害児相談支援事業所のサービス担当者会議にその子どもの状況に精通した最もふさわしい者が参画しているか 関係機関や保護者との連

修-CIA Exam Change Handbook_FAQs_ indd

知創の杜 2016 vol.10

Transcription:

Japan Computer Emergency Response Team Coordination Center 電子署名者 : Japan Computer Emergency Response Team Coordination Center DN : c=jp, st=tokyo, l=chiyoda-ku, email=office@jpcert.or.jp, o=japan Computer Emergency Response Team Coordination Center, cn=japan Computer Emergency Response Team Coordination Center 日付 : 2015.03.11 16:52:03 +09'00' サイバー演習の有効性 レジリエントな組織づくりに向けて 国立大学法人名古屋工業大学 青山 友美

2/12/2015 2 自己紹介 青山友美 名古屋工業大学大学院博士前期課程 2 年 TUV SUD GmbH ( ドイツ ) インターンシップ 8 ヶ月 消費者製品向け機能安全標準に関わる業務 ENCS European Network for Cyber Security ( オランダ ) インターンシップ 6 ヶ月 重要インフラむけセキュリティ演習のファシリテーションに参加

2/12/2015 3 当セッションの目的 ICS セキュリティに関連する演習の紹介 レジリエンスの視点からの演習の比較 演習に何を効果として求めるべきか? 演習の成果をどのように持ち帰るべきか?

2/12/2015 4 演習から何を学ぶ? セキュリティ レジリエンス 重要インフラ防護 の目的 重要インフラにおけるサービスの持続的な提供を行い 自然災害やサイバー攻撃等に起因する IT 障害が国民生活や社会経済活動に重大な影響を及ぼさないよう IT 障害の発生を可能な限り減らすとともに IT 障害発生時の迅速な復旧を図ることで重要インフラを防護する NISC 重要インフラの情報セキュリティ対策に係る第 3 次行動計画 (2014) http://www.nisc.go.jp/active/infra/pdf/infra_rt3.pdf

2/12/2015 5 演習から何を学ぶ? 大統領決定 (PDD)21 号 (2013): 重要インフラのセキュリティとレジリエンス ( 柔軟性 ) 強化に向けた作業項目の策定 Presidential Policy Directive PPD 21 (2013) http://www.whitehouse.gov/the-press-office/2013/02/12/presidential-policy-directivecritical-infrastructure-security-and-resil

2/12/2015 6 セキュリティとレジリエンス セキュリティとは 侵入 攻撃または天災 人災の結果に対する物理的手段または防衛サイバー対策によって 重要インフラへのリスクを低減すること レジリエンス ( 柔軟性 ) とは 状況の変化に備え 適応し 混乱に耐えて急速に回復する能力を意味する レジリエンスには意図的な攻撃 事故 及び自然発生的な脅威またはインシデントに耐え 回復する能力が含まれる Presidential Policy Directive PPD 21 (2013) http://www.whitehouse.gov/the-press-office/2013/02/12/presidential-policy-directivecritical-infrastructure-security-and-resil

2/12/2015 7 つまり? セキュリティインシデントの発生するリスクを減らす = 強い城壁を作りましょう レジリエンスインシデントに対応する力 = 強い組織を作りましょう 今回は レジリエンスの観点から各演習に期待される学習効果を検証する

2/12/2015 8 レジリエンスをつくるには レジリエンス エンジニアリングの考え方 (Resilience Engineering)

2/12/2015 9 レジリエンス 4 つの要因 対処能力 Respond 監視能力 Monitor 予見能力 Anticipate 学習能力 Learn 混乱 外乱にどのように対処すべきかを知っている 直近の脅威 またはそれになり得るものをどのように監視すべきか知っている 未来に生じる変化 混乱 圧力およびその結果もたらされる事象の進展 脅威をどのように予見するべきか知っている 成功 失敗事例からどのように教訓を得るのかを知っている

2/12/2015 10 演習から学べるレジリエンス 対処能力 Respond 監視能力 Monitor 予見能力 Anticipate 学習能力 Learn 混乱 外乱にどのように対処すべきかを知っている 直近の脅威 またはそれになり得るものをどのように監視すべきか知っている 未来に生じる変化 混乱 圧力およびその結果もたらされる事象の進展 脅威をどのように予見するべきか知っている 成功 失敗事例からどのように教訓を得るのかを知っている インシデント対応手順異常検知 セキュリティ脅威に関する知見振り返り学習

2/12/2015 11 今回比較する演習 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

2/12/2015 12 演習の種類 https://www.fema.gov/media-library/assets/documents/32326 https://www.ipa.go.jp/files/000025350.pdf

2/12/2015 13 NIST Special Publication 800-84 による演習区分 トレーニング演習テスト 机上演習 機能演習 緊急時対応計画やコンピュータセキュリティインシデント対応計画などの IT 計画を実行する上で 例えば 計画における役割と責任を果たせるよう担当者のトレーニングを行ったり 内容を検証するために計画の実施演習を行ったり 計画に指定されている運用環境でシステムとシステム構成要素の運用性を確認するテストを実施する といった準備 (TT&E/Test, Training and Exercise) がなされているべきて ある 机上演習は 議論ベースの演習で 緊急時の役割や ある特定の緊急事態への対応策を議論する形をとる 機能演習を実施することで スタッフは実際の緊急事態における役割と責任を シミュレーション環境のなかで実践することが可能となる NIST SP 800-84 IT 計画および IT 能力のためのテスト トレーニング 演習プログラムのガイト https://www.ipa.go.jp/files/000025350.pdf

議論ベースの演業ベースの演習2/12/2015 14 HSEEP(Homeland Security Exercise and Evaluation Program) による演習区分 机上演習 (TTX) *Table Top Exercise 機能演習 (FE) *Functional Exercise ゲーム意思決定能力測定型訓練 ( ドリル ) 手順確認型習作ワークショップ 意見交換型 セミナー ( 座学 ) 情報付与型 総合演習 (FSE) *Full Scale Exercise 議論ベースの演習では ファシリテーターおよびプレゼンターが議論の進行を務め 参加者が演習の目的に向かって議論を進めるよう働きかける 作業ベースの演習において 参加者は演習のシナリオに対し情報伝達や人的資源管理など 実際の行動によって反応する Homeland Security Exercise and Evaluation Program https://www.fema.gov/media-library/assets/documents/32326

議論中心の演業中心の演習2/12/2015 15 NIST Special Publication 800-84 による演習区分 トレーニング演習テスト 机上演習 機能演習 ゲーム訓練 ( ドリル ) 習作ワークショップ セミナー 総合演習 HSEEP(Homeland Security Exercise and Evaluation Program) による演習区分

論中心の演習の演習議2/12/2015 16 NIST Special Publication 800-84 による演習区分 トレーニング 演習 テスト 机上演習 ゲーム ワークショップ 機能演習 訓練 ( ドリル ) 作業中心セミナー総合演習本日紹介するのはこの4 種類に区分される演習です HSEEP(Homeland Security Exercise and Evaluation Program) による演習区分

2/12/2015 17 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

2/12/2015 18 INL アイダホ国立研究所 Source: https://secure.inl.gov/icsadv1214/

ENCS 2/12/2015 19 European Network for Cyber Security Source: https://education.encs.eu/training/training-overview/encsadvanced-cyber-security-course-red-team-blue-team-training

2/12/2015 20 QUT クイーンズランド工科大学 Source: https://www.qut.edu.au/study/short-courses-and-professionaldevelopment/short-courses/cyber-security-industrial-control-systems

ENCS / INL / QUT 2/12/2015 21 Red team Blue team 型演習 主催者 開催地国 都市 INL (Idaho National Lab.) アイダホ国立研究所 ENCS (European Network for Cyber Security) QUT (Queensland University of Tech.) クイーンズランド工科大学 米国 アイダホ州 オランダ ハーグ オーストラリア ブリスベン 主催機関 ICS-CERT 研究機関大学 講師 専属講師 研究者 研究者 + 招待講演者 ( ベンダー セキュリ ティ企業等 ) 開催頻度 2 ヶ月に 1 度半年に 1 度年に 1 度 教授 (IT セキュリティ )

ENCS / INL / QUT 2/12/2015 22 Red team Blue team 型演習 Blue Team 防御チーム 20 名程度 シナリオ 化学製品を生産するプラント 参加者がそれぞれマネージャー IT 管理者 オペレータなどの役職を演じる Red Team 攻撃チーム 10 名程度 シナリオ ブルーチームの敵対企業に雇われたハッカー集団 生産の妨害 システムの破壊が最終目的

ENCS / INL / QUT 2/12/2015 23 Red team Blue team 型演習 日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ 3 5 日座学 + 作業演習 20-30 名 IT/ 制御 / マネジメント総合演習 敵対型フルスケール仮想企業参加者の自由 ENCS 演習紹介ビデオより http://youtu.be/bgvwojw1dfy 長所 短所 フルスケールに再現されたネットワーク構成での実戦 参加者によって学習効果にばらつき

ENCS / INL / QUT 2/12/2015 24 Red team Blue team 型演習 インシデント 対応手順 意思決定層の対応手順 IT 技術の対応手順を仮想企業において体験 インシデント対応におけるコミュニケーション 異常検知 IT 技術による異常検知手法 攻撃者の視点でネットワークの脆弱性を探す視点 セキュリティ脅威 に関する知見 攻撃視点 防御視点の両方からインシデントを経験 インシデント発生によって社内に起こり得るトレードオフ ( セキュリティ vs 生産性 効率 vs 完璧さ ) を体験

2/12/2015 25 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター 演習の構成トリガー ( 引き金 ) イベントシステム異常の発生調査 復旧種明かし対策案 2/12/2015 26 写真 :2013 年度に実施したサイバーセキュリティ演習の概要説明資料より http://www.css-center.or.jp/pdf/cybersecurity-exercises_outline.pdf

サイバーセキュリティ演習 2/12/2015 27 CSSC 制御システムセキュリティセンター 日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ 2 日 座学 + 機能演習 20-30 名 ガス 化学 ビル 電気事業者 防御デモを 5 シナリオ 実機 ( オペレーション部分のみ ) 仮想ガスプラント会社 段階的に指示 CSSC 演習紹介ビデオより http://youtu.be/aqrb7wfr4aq 長所 短所 オペレーション機能に集中した演習演習後 各社毎に有識者との個別議論有り 参加対象分野に制限

2/12/2015 28 サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター インシデント 対応手順 オペレータ層のインシデント対応手順をデモプラントで体験 異常検知 オペレータによる異常の検知方法 セキュリティインシデントとセーフティインシデントの見え方の違い セキュリティ脅威 に関する知見 攻撃の侵入経路 攻撃のバリエーション 効果的な対策手法

2/12/2015 29 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

2/12/2015 30 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 コントローラ 所管省庁セプター NISC 状況付与 サブコントローラ 全体会合 参加企業 助言者 関連機関 機能演習 写真 :2014 年演習より

2/12/2015 31 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 日程 コース構成 1 日 機能演習 参加者数 348 名 (94 組織 ) 参加対象者演習タイプ演習環境シナリオアクティビティ長所短所 重要インフラ 13 分野 防御 2 シナリオ 連絡ツールのみ実機 自社 自役職 参加者の自由 分野横断した情報共有練習サブ コントローラによるシナリオ調整 Twitter @cas_nisc 内閣サイバーセキュリティセンター公式アカウントより 達成目標 シナリオの再現度の設定は参加者次第

2/12/2015 32 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 インシデント 対応手順 自社で取り決められている意思決定層の対応手順 情報共有体制の実効性を検証 事業継続計画の発動方法や その手順を確認 異常検知 ( 参加者側からアクティブに異常検知をして発信することはない ) セキュリティ脅威 に関する知見 状況が次第に明らかになっていく過程で システムへの影響や被害の及ぶ範囲を想像する

2/12/2015 33 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

2/12/2015 34 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 企業 A コントローラ 参加者 攻撃者 企業 B 助言者 助言者 参加者 攻撃者 参加者は攻撃に対する技術対応に加えて コントローラの指示によって議論も行う

2/12/2015 35 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 日程コース構成参加者数参加対象者演習タイプ演習環境シナリオアクティビティ長所短所 1 日 機能演習と机上演習の組み合わせ 最大 2 グループ 10 名程度 IT 管理者 防御チーム IT 部分実機 仮想企業 段階的に指示 チームごとに助言者がつき 議論をサポートインシデント対応の手順を段階的に体験 IT 管理者に限定 制御システム系のインシデントでない

2/12/2015 36 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC インシデント 対応手順 IT 管理者の技術的対応手順を 指示を受けながら学ぶ 関連機関との情報共有の重要性を学ぶ 異常検知 ( 参加者側からアクティブに異常検知をして発信することはない ) セキュリティ 脅威に関する知見 APT( 標的型攻撃 ) の攻撃手法を体験する 攻撃トレンド情報などから 自社で起きているインシデントの全体図を想像する

2/12/2015 37 演習の比較 Red team Blue team 型演習 ( 国外 ) Idaho National Lab ( 米 )/ ENCS ( 蘭 )/ QUT ( 豪 ) ガス分野サイバーセキュリティ演習 CSSC 制御システムセキュリティセンター主催 分野横断的演習 NISC 内閣サイバーセキュリティセンター主催 Cyber Range:APT( 標的型攻撃 ) 対応演習 JPCERT/CC 主催 KIPS Kaspersky Industrial Protection Simulation Kaspersky 主催

Kaspersky Lab 2/12/2015 38 KIPS Kaspersky Industrial Protection Simulation 目標 : 企業の IT スペシャリストとして セキュリティを強化しながら売り上げを伸ばす メッセージフェーズ 業界ニュース 社内メッセージなど 対策が必要かどうか各チームで判断 アクションフェーズ チームで話し合い 選択するカードを決定する 生産フェーズ シナリオに沿って選択したカードの効果 影響が売り上げ高 攻撃の進捗度に表れる 全部で 5 ターン繰り返す

Kaspersky Lab 2/12/2015 39 KIPS Kaspersky Industrial Protection Simulation 日程コース構成参加者参加対象者演習タイプ演習環境シナリオアクティビティ長所短所 2 時間程度 ゲーム 12 名 (4 チーム ) より 誰でも可能 防御シナリオ ボード カードゲーム 仮想企業 カードから選択 簡単にサイバー攻撃を体験スコア ($) によるわかりやすいフィードバック 対策の選択はカードからの選択に限られる KIPS 紹介ビデオより http://www.kaspersky.com/industrial-security-cip

2/12/2015 40 Kaspersky Lab KIPS Kaspersky Industrial Protection Simulation インシデント 対応手順 カードから選んだ対策の効果が次のターンでシステムへ反映される 異常検知 業界ニュース などとして入って来る情報からサイバー攻撃の可能性を想像する システム監査 カード導入のタイミング セキュリティ脅威 に関する知見 セキュリティ対策の導入と生産のバランスを考える

2/12/2015 41 まとめ 演習によって学べる知識 スキルは異なる 攻撃手法 インシデントハンドリング手順 演習内で行う活動 意思決定も異なる IT/ オペレータ技術対応 事業継続計画 議論 この演習を受けておけば対策は完璧 ということはない

2/12/2015 42 総括 ENCS / INL / QUT CSSC NISC JPCERT/CC Kaspersky Lab 意思決定層の対応手順 IT 技術の対応手順を仮想企業において体験 オペレータ層のインシデント対応手順をデモプラントで体験 IT 管理者の技術的対応手カードから選んだ対策の効自社で取り決められている順を 指示を受けながら学果が次のターンでシステム意思決定層の対応手順ぶへ反映される インシデント対応手順 インシデント対応におけるコミュニケーション 情報共有体制の実効性を検証 関連機関との情報共有の重要性を学ぶ 事業継続計画の発動方法や その手順を確認 異常検知 IT 技術による異常検知手法 ( 参加者側からアクティブオペレータによる異常の検に異常検知をして発信す知方法ることはない ) セキュリティインシデントと攻撃者の視点でネットワーセーフティインシデントのクの脆弱性を探す視点見え方の違い 攻撃視点 防御視点の両方からインシデントを経験 攻撃の侵入経路 ( 参加者側からアクティブに異常検知をして発信することはない ) 状況が次第に明らかになっていく過程で システ APT( 標的型攻撃 ) の攻撃ムへの影響や被害の及ぶ手法を体験する範囲を想像する 業界ニュース などとして入って来る情報からサイバー攻撃の可能性を想像する システム監査 カード導入のタイミング セキュリティ対策の導入と生産のバランスを考える セキュリティ脅威に関する知見 インシデント発生によって社内に起こり得るトレードオフを体験 攻撃のバリエーション 攻撃トレンド情報などから 自社で起きているインシデントの全体図を想像する 効果的な対策手法

2/12/2015 43 演習は PDCA サイクルのドライバー 課題を抽出する場 CSSC 制御システムセキュリティセンター 気づきを得る場 NISC 内閣サイバーセキュリティセンター 演習成果を自社に持ち帰る 自社の体制を自己評価する

実はもう一つ 演習から学べるレジリエンス 2/12/2015 44 対処能力 Respond 監視能力 Monitor 予見能力 Anticipate 学習能力 Learn 混乱 外乱にどのように対処すべきかを知っている 直近の脅威 またはそれになり得るものをどのように監視すべきか知っている 未来に生じる変化 混乱 圧力およびその結果もたらされる事象の進展 脅威をどのように予見するべきか知っている 成功 失敗事例からどのように教訓を得るのかを知っている インシデント対応手順異常検知 セキュリティ脅威に関する知見 振り返り

2/12/2015 45 振り返りの時間 の重要性 どの演習においても 演習終了後にファシリテータ 参加者全員で演習の 振り返り ( デブリーフィング ) を行う 振り返り は答え合わせではなく演習での体験を知識に落とし込む作業 ファシリテータモデル シナリオの意図通りの学習目的が達成されているかを確認 参加者体験した事象 ( 主観的な経験 ) をシェアする 他の参加者の体験を聞くことで共通の教訓を得る

演習主催者側 演習の実施形態 シナリオを計画 計画 Plan 2/12/2015 46 演習の実施 振り返りから次のステップへ 演習目的 検証されるべき課題を抽出 抽出 Act 実施 Do シナリオ 課題設定 演習方法の評価 評価 Check ファシリテータモデル シナリオの意図通りの学習目的が達成されているかを確認

演習主催者側 演習の実施形態 シナリオを計画 計画 Plan 2/12/2015 47 演習の実施 振り返りから次のステップへ 演習目的 検証されるべき課題を抽出 抽出 Act 実施計画 Do Plan 演習に参加 シナリオ 課題設定 演習方法の評価 評価抽出 Check Act 計画 Plan インシデント対応計画を想定 想定した計画が十分であったか振り返る 抽出 Act 現行のインシデント対応計画の課題を抽出 演習参加者側

2/12/2015 48 演習の効果 演習の場で 力試し 新しい知識 経験を得る 様々な角度から レジリエンスを鍛える! 困難に直面 する 足りない要素 に気づく

2/12/2015 49 次世代型演習に向かって インシデント対応手順を自社のモノとする 演習体験を参加者個人から組織へ展開 体験を自社で適用する方策欠如の問題 他組織との連携で 組織として対応を図る 自社能力 ( インシデント対応 BCP) の客観的評価の問題 異常検知を網羅する 異常検知能力の向上 安全に関わるサイバーインシデントに気付く能力構築の問題 異常検知範囲の拡大 安全に関わるサイバーインシデントに気付くスタッフの教育問題 セキュリティ脅威に関する知見の拡充 攻撃者の視点 ( 思考 ) を勘案した対抗処置 攻撃者の心理 ( ストレス ) を勘案した対抗処置 攻撃者の技術を勘案した対抗処置

2/12/2015 50 青山友美 t.aoyama.084@nitech.jp ご静聴ありがとうございました

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック