キンドリルジャパンは2月27日、サイバーインシデント発生時に企業の経営層が直面する意思決定の現実を体験する勉強会を実施した。

経営層が直面するサイバーインシデント時における意思決定の課題とは

冒頭、キンドリルジャパン 理事 セキュリティ&レジリエンシー事業本部長の増田博史氏は「昨今ではサイバーレジリエンスは経営の最重要課題となっている。レジリエンシーは従来のサイバーセキュリティにBCP(事業継続計画)とDR(災害復旧)を加えたもの。予測、防御、対応(監視)、復旧を迅速に行うアプローチとなる。今回の体験は予測に近い教育/演習の領域を体験してもらう」と述べた。

  • キンドリルジャパン 理事 セキュリティ&レジリエンシー事業本部長の増田博史氏

    キンドリルジャパン 理事 セキュリティ&レジリエンシー事業本部長の増田博史氏

  • キンドリルのサイバーレジリエンスフレームワーク

    キンドリルのサイバーレジリエンスフレームワーク

同社によると、サイバー演習が求められる理由として国内でのサイバー攻撃が増加し、攻撃手法が高度化・多様化しているためトレンドについていけないことや、経営層・現場・IT部門の連携が不十分で課題が明確ではないことを挙げる。また、サイバー攻撃を受けた場合の対応に不安を抱えているほか、インプット中心の座学のトレーニングでは実行性に欠け、実践的な訓練の実施法に課題を抱えているという。

同社では、サイバー演習に求められるポイントとして「最新の攻撃手法に沿った演習」「議論を交えることで得る気付きと学び」「課題と対策を整理できる専門家の知見」の3つを示している。そのため、同社のサイバー演習は演習を通じた課題認識、最新の攻撃手法を用いたシナリオ、具体的な対策案が学べることを特徴としている。

  • キンドリルにおけるサイバー演習のポイント

    キンドリルにおけるサイバー演習のポイント

「Immersive Crisis Simulations」の概要と演習の概要

では、ここからは実際にサイバー演習を体験したので、その模様を紹介する。利用したのは「Immersive Crisis Simulations」だ。これは、サイバー攻撃などの緊急事態時に企業や組織のリーダー、技術チームがプレッシャーの中で正しい意思決定を行うことを訓練する没入型のデジタルシミュレーションサービスとなる。

体験では「グローバルフーズ・マニュファクチャリング」という研究開発センターや工場など国内外に拠点を持つ架空の国内食品関連企業を想定した。顧客はコンビニやスーパーマーケット、外食チェーンなどに設定。

シナリオではランサムウェアを受け、主要なシステムが停止する事態に直面し、限られた情報の中で深刻なサイバーリスク、業務上のリスク、経営上のリスクを最小化するため、迅速かつ的確な意思決定が迫られるというもの。

  • 演習の概要

    演習の概要

演習を進める中での回答はGreat、Good、Okay、Weakの4段階(Greatが最も望まれる)としているが、ユーザーによっては考え方が異なるため、あくまでも今回のための設定になっている。また、インシデント解決に向けて選択肢を数値(定量的)で測定・評価する指標として「企業の評判」と「業務復旧までの日数」を設定し、初期値は企業の評判が70%、業務復旧までの日数を7日とした。

これらの指標は選択肢により、数値が変化するようになっており、損害額などそのほかの指標も組み込める。ちなみに、今回の演習ではパーセンテージが高い選択肢が総意として選択される形となっており、演習はシーン1~3を行い、シーン1・2はCISO(最高情報セキュリティ責任者)、シーン3は広報の立場として回答した。そして、メディア関係者11人で演習をスタートした。

ランサムウェア被害を想定した意思決定のシナリオ

まず、シーン1は海外拠点から日本のサーバへアクセス試行の検知だ。

本社で月曜日朝の週次報告会議の準備をしていたところ、SOC(Security Operations Center)から大量アラート検知の報告が届いた。この事象に対して、CISOとして考えられる影響を考慮して最初に取るべき行動は?

ここでは「オプション1:インシデント対応プロセスの開始」「オプション2:通常手順(様子見)による確認を指示」の2つの選択肢が提示された。オプション1が選択され、見事にGreatを獲得。企業の評判、業務復旧までの日数は初期値のままとなった。

続いて、シーン2では暗号化の初期兆候への対応が試された。

国内2工場で一部IoT機器で未承認プロセスが動作し、一部の工場端末で暗号化の初期兆候が確認された。一方で生産管理システムの中核機能は稼働を維持し、被害は限定的。工場ライン停止のリスクと感染拡大防止のバランスをふまえ、ネットワーク遮断の範囲と要否を判断する必要があり、CISOとしてどのような対応を取るか?

オプションは「オプション1:全拠点のネットワーク遮断」「オプション2:国内工場・基幹系のみ限定気に遮断」「オプション3:ネットワークを遮断しない」の3つ。

  • シーン2の概要とオプション

    シーン2の概要とオプション

このシーンではオプション2が選択され、Greatを獲得したものの侵害は範囲が想定より広かった場合、封じ込めに失敗する可能性が残ることから、企業の評判は60%に減少し、業務復旧までの日数は約40日に伸びた。

  • シーン2の回答

    シーン2の回答

最後は外部公表方針について。

国内2工場の一部生産ラインが衛星監視システムエラーで自動停止し、顧客から「納品遅延の可能性」について多数の問合せが発生し、メディアからも「原因は?」と問合せが増えている。現時点で製品供給にどの程度の遅れが発生するか、また個人情報漏えいやPB(プライベートブランド)使用への影響有無は未定。食品業界は供給停止が直接的に棚不足や契約違反につながるため、取引先への説明責任が特に重くなり、調査が不十分な状態でサイバー攻撃を明言すれば混乱を招く一方、発表が遅れれば隠蔽と受け取られる恐れもある。広報・経営陣の間で初期開示の粒度とスピード感が問われる。

このシーンでのオプションは「オプション1:原因の特定を待ち、正式な追加調査結果が出るまで発表は保留」「オプション2:サイバー攻撃の可能性があると限定的に認め、影響範囲の調査を待って早期開示」「オプション3:システム障害が発生し、調査中」の3つだ。

ここでは、オプション2が選択された。評価はGoodとなり、企業の評判は40%に減少、業務復旧までの日数は現状維持となった。ただし、オプション3を選択した場合でもGoodとなり、企業の判断により分かれることもあるため難しい側面もあり、慎重な対応が求められるという。

今回の体験を通じて、サイバーインシデント対応における経営判断は、技術的な正解を選ぶこと以上に、限られた情報と時間の中で「何を優先し、どこまでリスクを取るか」を即断する力が問われることを実感した。

机上の知識だけでは補えない判断の重みや部門間連携の重要性を、体験を通じて具体的に理解できる点は大きな気付きとなった。