トレンドマイクロは5月31日、東京・新宿本社で、金融機関のセキュリティ担当者を対象にした「インシデント対応ワークショップ-AWS環境のセキュリティを学ぶ-」を開催した。

このワークショップは、AWS環境を導入している金融機関でサイバー攻撃が発生したシナリオを想定し、ボードゲーム形式でインシデント対応を模擬体験するというもの。

32名の参加者は、6チームに分かれ、広報担当者、セキュリティ担当者、システム管理者、情報システム部門責任者、経営責任者(社長)に割り振られ、それぞれの立場に応じた対応策を検討した。

  • ワークショップの風景

当日与えられたセキュリティインシデントは

・外部の有識者からtrendfin.co.jpのサイトに脆弱性が存在するという報告があった
・利用者から「trendfin.co.jpにアクセスすると、セキュリティ製品でブロックされる」という連絡があった
・trendfin.co.jpにアクセスすると、セキュリティ製品がマルウエァアを検出するという連絡があった

の3つ。

  • 与えられたセキュリティインシデント

各チームには、不審なアクティビティ監視(Amazon GuardDuty)、サーバ対策ログ(侵入検知システム)、サーバ対策ログ(不正プログラム対策)の3つのログと、システム構成図が渡され、これをもとに、どこで、何が起こっているかを推測し、対策を検討していく。なお、各チームには、トレンドマイクロの社員が付き、ヒントやアドバイスを与える。

  • 資料とした与えられたシステム構成図とログ

検討時間は50分で、結果を「Web改ざんシナリオのアクションシート」に、想定されるインシデント、資産・ブランド・影響を受けるシステムの重要度の影響度、対応プランを記述。各チームの導いた結論は、広報担当者が経営責任者に報告するというスタイルで、みんなの前で発表された。

  • 検討中の様子。ときどきトレンドマイクロの社員がアドバイスを与える(右)

  • 広報担当者が経営責任者に報告するというスタイルで、みんなの前で発表

講師からは

・経営者目線で外部(顧客)に対する影響を言及した点は良かった
・セキュリティ担当の推測ではなく、ログを見て証跡に基づく判断である点が良かった
・現在わかる範囲で、今後影響がでそうな最悪のケースを想定していた点が良かった

などの講評があったほか、

・フォレンジックのためにサーバの状態を保存しておく必要があることを意識してほしい
・本番と同じ環境をもつ開発環境も考慮する必要がある
・問い合わせが急増することに対するコールセンターの体制の整備やコールセンターでの回答例も用意する必要がある

といったアドバイスがあった。

また、「クラウドサービスは堅牢になっているが、使う側のセキュリティ意識が低いとそこが脆弱性になる」という指摘があった。

参加者からは、

・各社のインシデント対応のスタンスがわかり、有意義な時間を過ごすことができた
・(インシデント)対応判断にも考え方が多様である点は参考になった
・楽しみながら対応の訓練をすることができた
・参加者と議論でき、気付きがあった

といった感想が寄せられた。

今回のワークショップは、セキュリティインシデントに対する対応法を学ぶほかに、自社のセキュリティ対策の課題を洗い出すという狙いもあるという。

なお、今回のワークショップで利用した「インシデント対応ボードゲーム」はダウンロードが可能だ。

  • 「インシデント対応ボードゲーム(スタンダード版)」