【情報システム部 活動報告】Sky情シス通信NISC / NCA連携分野横断的演習 参加レポート
NISC(内閣サイバーセキュリティセンター)とNCA(日本シーサート協議会)が合同で開催しているサイバー演習への参加レポートをお届けします。
弊社の情報システム部は「お客様に安心して弊社商品をご利用いただくことに自分たちも貢献したい」と、技術力向上のため外部のイベントにも積極的に参加しています。
今号ではその活動の一つとして、NISC(内閣サイバーセキュリティセンター)とNCA(日本シーサート協議会)が合同で開催しているサイバー演習への参加レポートをお届けします。
この8回目となる演習が2022年12月9日に実施され、Sky株式会社からも情報システム部門を中心に構成されたセキュリティインシデント対応チーム「Sky-SIRT」が参加しました。当日は組織ごとに1~15名がチームとなり、120分の演習に取り組みます。
今回は集合会場に集まって参加する「集合型」と、メンバーがそれぞれオンラインで参加する「分散型」から参加形式を選べるハイブリッド型での開催で、弊社メンバーはオンラインで参加。演習後にはチーム内で自分たちの対応を振り返るだけでなく、いくつかのチームと合同でディスカッションをする時間も設けられていました。
1.事務局からシナリオが提示される
事務局から提示されたシナリオを、チーム内で事前に決めておいたサブコントローラー(事務局との連絡窓口)が自社用にアレンジしてメンバーに展開します。今回の演習テーマは「チーム」で、Emotetによってランサムウェアに感染した際にチームの連携を図るシナリオでした。
2.メンバー間でどんな対応をすべきか協議
シナリオ内で発生したインシデントに対し、組織としてどう対応していくかを話し合います。「ハードウェアのログを確認する」「関係各所に連絡する」といった対応を行動記録シートにすべて記載。事務局が用意したアンケートにも回答します。
3.時間経過や対応によってシナリオが変化
「身代金を要求された」「バックアップデータも暗号化された」など、時間の経過や自分たちがとった対応に合わせてシナリオが変化していき、サブコントローラーからメンバーに追加で提示されます。
→「2」と「3」を繰り返して演習が進んでいきます
演習結果の振り返り
良かった点
- 全体をとおした動き
演習ではインシデント対応のアンケートが事務局から提示され、自社の対応を回答します。Sky-SIRTの回答はNISC、NCAの想定と一致しており、模範的な動きがとれていることがわかりました。 - 初動対応
感染端末のネットワーク隔離やログ確認、パスワード変更など、インシデントの初動対応が特に迅速でした。 - 対応手順書
事前に対応手順書を用意しておいたことで、インシデント対応がスムーズに。手順書に必要な対応がひと通り記載できていることも確認できました。
今後の改善点
- ダークウェブへの対応
今回のシナリオではダークウェブ上に個人情報が流出。もし同様のことが発生したらどう調査するか、その情報に信憑性があるかなど、検討事項が見つかりました。 - 社内外への情報展開
インシデント対応では、お客様へのご連絡や社内での情報共有、外部機関への報告など情報展開が必要な場面がいくつもあるため、タイミングや担当者を明確にしておくとよりスムーズだと思いました。 - 業務継続性の判断
業務継続性の観点から、サーバーやネットワーク復旧の基準も決めておく必要があると感じました。
読者の皆さまへ
今回の演習に参加して、大規模なインシデントが発生した際にどのような対応が求められるかがイメージできました。ここで見つかった改善点を踏まえて、皆さまにより安心してサービスをご利用いただける体制を構築していきます!