JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「サイバーセキュリティの「有事」に何が必要なのか ~Locked Shields2024演習参加からの考察~ - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、国際的なサイバー防衛演習「Locked Shields 2024」の参加から見えたリアルタイムインシデント対応の重要性を伝えた。

通常のインシデント対応では「事後」であることが多く、「今」進行しているサイバー攻撃の対応を迫られることは現実には少ないとされる。Locked Shields 2024では後者に当たるリアルタイムインシデント対応が求められるとして、そこから得られた知見を伝えている。

インシデント対応の特徴と演習の特殊性

JPCERT/CCは、インシデント対応の特徴を次のように述べている。

  • サイバー攻撃のインシデント対応は、基本的に被害組織と支援組織、調査組織が密室で行う。そのため、第三者による対応の評価がなされない
  • 事前に支援組織や調査組織の能力を評価できない
  • 対応後に提出される分析結果の正しさを評価できない

現実ではこれら項目が評価されることはないが、演習ではこれらが評価される。これら評価はサイバー攻撃発生時に「本当に頼りになるのは誰か」を明らかにし、いざという時の組織間連携に重要な判断材料を提供してくれる。JPCERT/CCは「Locked Shields 2024」のこの特殊性が重要としている。

演習の重要性

JPCERT/CCは演習の内容を明かすことはできない(手の内を脅威アクターに公開することになるため)としつつ、平時から行っている手法(事後対応)とは異なる対応を迫られたことを明かしている。

また、演習では脅威アクターの特定、脅威分析だけではなく、法務、広報、戦略コミュニケーションなど政府側の対応や、行政対応についても評価されることを明らかにした。特にこの演習のようなリアルタイムインシデントの対応では、公的機関にマニュアルの蓄積がなく、民間の知見、能力を機動的に活用する能力、受け入れ体制などが行政側に求められるという。

演習を通じて得られた結論は、有事のマニュアル(理論、ドクトリン)を整備、蓄積していくことの重要性とまとめられている。近年のサイバー攻撃の多発、高度化を受けて、情報セキュリティ部門を設け、演習を行い、準備している企業や組織は少なくないと推測される。

しかしながら、それらが現実のインシデントで機能するかは誰にもわからない。JPCERT/CCは、Locked Shields 2024のようなシビアな演習の場で、準備したインシデント対応策が本当に機能するかが見えてくると述べている。

サイバー被害が社会に影響を与える企業、組織には、より実践に即した演習を通じて知見を蓄え、現実の脅威に向き合っていくことが望まれている。