プラクティス7-5 無理なく実践するインシデント対応演習
従業員数700名規模で倉庫業を営むS社は、自動仕分けシステムを有する倉庫を複数保有しており、その物理的な故障に対してはその製造業者の保守サービスを利用することで、24時間365日の稼働維持が図られている。一方で、自社の情報システムについてはこれまで大きなトラブルが生じていなかったこともあって、障害対策はデータのバックアップ程度にとどまり、実際に障害が発生した場合の対応等は被害の想定が困難なこともあり、具体的に定められていなかった。
そのような中、顧客におけるDX推進の一環として倉庫における仕分けの状況を顧客がリアルタイムに分析できるような仕組みを導入することとなり、その際に顧客より、障害発生時の稼働停止期間を極力短縮できるよう、要員のスキルアップを目的とする演習を実施してはどうかとの提案があった。S社でもこれまで演習を実施すべきとの意見が社内で出ていたが、社内のリソースが不足気味であることと、演習の効果が未知数との理由から実施に至っていなかった。今回の提案を受けて、同社のCIOを中心として実施について検討することになった。
S社の実践のステップ
J社のCIOが実践したステップは下記3点である。
①実施する価値のある演習とするための要件の具体化
②無理なく実施できる演習の実施方法の検討
③演習を実施し、演習参加者の感想を把握して次回に向けた改善に反映(以後繰り返し)
S社の実践内容
S社のCIOは演習が「形だけ」のものになることを懸念していた。とくに今回は顧客からの依頼がきっかけということもあり、やること自体が目的となってしまう恐れがある。そこでCIOはやる以上は効果を得る必要があると考え、演習の企画設計にあたって次のような要件を定めた。
- 手が空いている要員のみではなく、緊急時に役割を担う全員で演習を実施する。
- 一方で、通常業務へのしわよせを最小限とするため、規模は大きくしない(半日程度)。
- 参加者が無理なく自分事として体験できる機会とする。
これらをもとにCIOは次表のように演習計画を作成した。倉庫のOT環境の要員はS社本社のITシステムとは別個のシステムで運用しているため、演習はそれぞれ別に実施することとした。ただし目標や実施内容は共通である。
表1 S社の演習計画
| 演習仕様に関する検討項目 | 決定した内容 | ||
|---|---|---|---|
| IT系 | OT系 | ||
| 準備 | 演習で実施する内容 | 机上演習 | OT機器の操作演習 |
| 演習環境 | S社会議室 | 演習サービスベンダーの提供する模擬環境を利用 | |
| 演習プログラム | 演習担当者が外部の研修で受講した内容をベースに、現場の懸念等も加味することでS社の条件に合ったプログラムを作成 | S社からの要望を演習サービスベンダーに示し、ベンダーの提案をもとにプログラムを作成 | |
| その他 | 年1回の「演習の日」を定め、社内で周知することで認知度向上と定着を図る | ||
| 初回 | 目的 | 「まず体験してみる、手を動かしてみる」ことに重点を置き、インシデント発生時に実施すべきことがどのようなことかを把握する | |
| 実施内容 | 演習参加者に判断や検討を求めることはせず、インシデント対応の流れを最後までひととおり体験してもらう(IT系部署とOT系部署が可能な範囲で合同で演習を実施) | ||
| 2回目 以降 | 目的 | インシデント対応スキルの習得・向上 | |
| 実施内容 | 演習で習得すべき事項を目標として設定し、演習参加者に対して演習中にいくつか実際に判断を求めることで、インシデント対応において求められるスキルを習得していることを確認(演習内容に応じた連携体制にて実施) | ||
演習の内容を「初回」と「2回目以降」で変えているのは参加者に無理なく演習プログラムをこなしてもらうための工夫である。初回はインシデント対応の流れを十分に把握できていない状態での参加が多いと見込まれることから、演習中に参加者に判断等はほとんど求めず、インシデント対応の流れを一通り体験してもらうことに重点を置いている。2回目以上は流れを把握できているので、条件に応じた判断を求めていく。
このようにして、多くの演習参加者から「参加して学びがあった」との回答を得たCIOは、今後も定期的な実施を継続する予定であるが、マンネリ化を防ぐための工夫の必要性も感じている。
参考情報
サイバー攻撃演習訓練実施マニュアル(一般社団法人日本CSIRT協議会)
https://www.nca.gr.jp/ttc/drill_manual.html
PDF形式のマニュアルのほか解説動画も用意されており、サイバー演習の概要、具体的な実装方法等について説明している。机上演習に関しては、「実環境型」「シナリオ開示/非開示型」「合同演習」「ディスカッション型」等目的に応じたサイバー攻撃演習/訓練マップも提示している。
実践的サイバー防衛演習(CYDER)(国立研究開発法人情報通信研究機構(NICT))
https://cyder.nict.go.jp/
サイバー攻撃によるインシデントの検知から対応、報告といったインシデントハンドリングの一連の流れを判ずオンで体験できる演習。対象者とレベルに応じて複数のコースが提供されており、一部のコースは全国47都道府県で開催されるほか、オンラインのみで受講できるコースもある。