第2回:演習と訓練でセキュリティの知見を高める
対談者
PwCコンサルティング合同会社 サイバーセキュリティ&プライバシー
ディレクター 林 和洋(写真左)
中部電力株式会社 情報システム部
総括・企画グループ 澤井 志彦様(写真中央)
PwCサイバーサービス合同会社 上席研究員 神薗 雅紀(写真右)
第2回:伊勢志摩サミットに向け実施したセキュリティ対策
中部電力とPwCによる、伊勢志摩サミットをターゲットとしたサイバー攻撃を防ぐため、ある実践的な“演習“が計画された。疑似マルウェアを実際のシステムに対して放ち、組織がどのように対応できるかを計る「レッドチーム演習」や、経営陣が中心となった演習も計画、実行を行いました。その演習でPwCのプロジェクトチームが言い渡された、あるひと言とは——
伊勢志摩サミット決定後からプロジェクト策定までを追った第1回に続き、今回は各種演習における、中部電力の取り組みについて話を聞きました。
中部電力で初の試み「レッドチーム演習」とは
PwC 林:
今回実施した“レッドチーム演習”についてお伺いします。演習の前段として、全体システム構成図を机に広げ、机上のリスク分析をしました。
そもそもレッドチーム演習は、実際のシステムに対して疑似マルウェアを侵入させ、遠隔操作によって攻撃されることを試すという演習です。そのような演習を実施するにあたり、経営陣に了承を得ることは難しかったのではないでしょうか。
中部電力 澤井様:
制御系システムは可用性の問題があり、難しいと思っていました。ただし情報系システムについては、反対もなくすんなりと受け入れられました。
PwC 林:
本番環境に対して疑似とはいえサイバー攻撃を仕掛けることは、精神的、心情的な面でも身構えてしまうと思っていました。
中部電力 澤井様:
われわれも正直、ドキドキしていました(笑)。「疑似マルウェア」は確かにマルウェアですが、神薗さんのようなしっかりした方が作ったもの。その点は信用していました。
PwC 神薗:
われわれも理論ベースで考え、実際のシステム構成を見たり想像したりして、脅威シナリオに落とし込んでいきました。それを疑似マルウェアというかたちでツール化すべく、準備を重ねてきました。「本丸」である制御系まで、インターネット越しから到達できるか――そんな観点からシナリオを作っています。(機密性の観点から)全ての資料も確認できないという状況でした。中部電力様のようなインフラ系の企業の情報システムは、一般企業とはちょっと違う思想で作られているので、ツール化するときに「これはどこまでやっていいのだろうか」と、現場でも探りながら実施したというのが正直なところです。
実際にわれわれのチームと、中部電力様と中電シーティーアイ様のSOCメンバーとが一緒に作業をして、いろんな攻撃のパターンを実行し、「どこで気がつけるか」「なにが起きているか」「どこまで攻撃が進行しているか」を分析できるよう、現場の方と一緒に、攻撃を見ながら進められました。これは私たちにとっても、良い経験になりました。
中部電力 澤井様:
われわれも攻撃者の思想——どのようなことを考えながら攻撃をしているのかは分かりませんでした。今までのセキュリティ対策は、サイバー攻撃を防御する仕組みが中心でした。いかにサイバー攻撃に気がつけるか、そのためにはどのようなログが必要かという考え方は、それまでの私たちには足りなかったと感じました。これはとても斬新だったという声を、現場から聞いています。
例えばこれまで、DNSのログなどは重要視していませんでした。攻撃者はPCへの攻撃が成立すると、そのシステム内がどういう仕組みになっているか、DNSにアクセスして確認します。これまでそういう考え方はありませんでした。新しい視点でしたね。
PwC 神薗:
インターネットを使ったレピュテーションを行ったとき、思ってもなかった情報が公開されていたということも発見できました。
中部電力 澤井様:
インターネット上には、玉石混交ではありますがさまざまな情報があふれていますよね。しかし、情報が外に知れわたっているということを前提にして、いかに守るかと考えるべきだとも思いました。
アプライアンス製品は防御力だけでなく「検知力」で判断すべし
PwC 神薗:
中部電力様は多くのセキュリティアプライアンス製品を導入されていました。その前提で調査をしますと、この攻撃パターンであるとこのアプライアンス製品はどういうアラートを上げるのか、改めて把握できることが分かったかと思います。このような情報の蓄積が、今後のサイバー攻撃で役立つのではと思います。
中部電力 澤井様:
われわれもアプライアンス製品を導入するときに検証を行いますが、一般的な攻撃という、ざっくりした検知率でしか評価できません。
標的型攻撃は、特定の企業を狙った攻撃です。中部電力にとって、これこそが最も危惧すべき攻撃です。特定の企業、特定の業種を狙った攻撃に気がつけるかという評価が重要ですが、その方法が分かりませんでした。そういったところを、今回PwCに見ていただきました。
PwC 神薗:
レッドチーム演習は、例えばマネージドセキュリティサービスがその攻撃に気付けるかという検証も可能ですし、アラートが上がった結果、現場の方がどのように動けるのかも確認できます。短時間で効果の高い検証ができたのではないかと思っています。
実際にやってみると、思ってもみないところで疑似RAT(リモートアクセスツール)が止まるということもあり、現場にお話を聞くとそこには設計書にない設定が見つかりました。システム整備の上でも、こういう演習はプラスになります。
レッドチーム演習では“その場で”マルウェアを書き換えることも
PwC 神薗:
実際に攻撃者目線でやってみるということで、侵入したあとの作業を、中部電力様や中電シーティーアイ様のメンバーにもお手伝いいただきました。実際にいじってもらうことで「意外と簡単に攻撃ができる」ということを実感してもらえて、ある意味楽しみながら演習を行えました。
中部電力 澤井様:
各部門の幹部が集まる会議体でも実演をしていただきました。実際にものを見るというのは理解の第一歩だと思います。
PwC 神薗:
会議体に参加させていただいて驚いたのは、経営陣の方々がセキュリティについて大変お詳しいということでした。この攻撃で、アラートは正しく上がるのかなどの質問もあり、意識が高いということを実感しました。
中部電力 澤井様:
伊勢志摩サミットというイベントは1つのきっかけだったとは思います。2020年の東京五輪、そして2025年のアジア大会など、イベントによる喚起は重要かもしれません。
PwC 林:
レッドチーム演習を通じ、現状把握や整理が進んだと思います。システム構成や設定を把握し、実際の攻撃でどうアラートが上がるのか、現状のSOCがいつ気付けるのかなどの検証、CSIRTに対する研修的な意味でも、最初の想定以上にさまざまな効果が上がったのではないかと考えています。
中部電力 澤井様:
紙の上でみるよりも、やはり実演していただいたことの効果は大きかったと思います。神薗さんにも来ていただいて、現場で疑似RATの攻撃コードを書き換えてもらいました。
PwC 神薗:
エンジニアとしても、やりがいがありました。
PwC 林:
そういう技術を持っていることが、自分たちの強みです。現場ですぐに機能を変え、追加できるということはPwCの優位性だと思っています。
PwC 神薗:
疑似マルウェアは“フルスクラッチ”で作っています。本番環境に影響を与えないことを保証していることも特長です。
疑似マルウェアによるレッドチーム演習を通じ、制御系システムと情報系システムの距離は「想像よりも近い」と感じましたでしょうか。
中部電力 澤井様:
制御系システムの中にも、さまざまな種類があります。いずれにしても、情報系システムを踏み台としたサイバー攻撃は脅威ですので、今後もさまざまな対策を進めていく必要があると思っています。
PwC 神薗:
人間への負荷をかけるという攻撃も成功してしまう可能性はあるでしょう。今回のレッドチーム演習で、その面でも良いアウトプットが出せたと思います。
経営層ももれなく参加したサイバー訓練
PwC 林:
通常の企業であれば、このような演習はIT担当の方、ITの役員の方を中心に活動されることが多いです。しかし、今回のサイバー訓練では取締役クラスの方に参加いただきました。CEO、COOレベルの方に訓練を行うというのは、日本でも初めてではないでしょうか。この取り組みはどう決まったのでしょうか。
中部電力 澤井様:
もともと中部電力では、サイバーセキュリティだけでなく、大規模地震といった自然災害や燃料調達など会社全体のリスク管理を行う専門部署がありました。今回の経営層向けサイバー訓練は、われわれとそのリスク管理部署と議論する中で、実施してみようとなりました。伊勢志摩サミットの直前だったこともあり、サイバー攻撃をテーマとしたシナリオで実施することとなったわけですが、サイバー攻撃に関して、まず私の方で経営判断が必要になりそうなポイントを考えました。
伊勢志摩サミットに関しては、やはり「電力供給が滞りなく行われるか」。どこまで現場判断でできるか、どのレベルから経営判断をあおぐべきか、さらに経営判断をあおぐ場合、どのような選択肢を用意すべきか——今回の訓練は、経営層向けの訓練だったわけですが、事務方としても経営層がどういう方向で判断しようとするかを勉強する機会にもなりました。
PwC 林:
2本くらいのシナリオを、1時間30分くらいの演習で行いました。
中部電力 澤井様:
経営層も全員参加しました。経営層の意識の高さが身にしみて分かった演習でしたね。
中部電力経営層からPwCへの“意外”な指示
PwC 林:
最初に依頼があったときは、私たちがファシリテーションをして進めることをイメージしていました。ところが、言われたのは「PwCは後ろで見ていてください。そして評価してください」――。中部電力様のIT部門、そして経営陣がリードするのだ、という意志が見えました。私たちは後ろで評価するという役割分担ができたことは成功要因だと考えています。
中部電力 澤井様:
上司からそう指示されたとき「僕らでやるの?」と思いました(笑)。終わったあとにPwCからの評価もいただきつつ、情報システム部門も自らを評価しました。
これを通じ、経営層と会話することの重要性が分かりました。われわれも普段ヒアリングを行ってはいるものの、いろんな機会を使って密接にやっていく。せっかくの機会なので、全部やれば経営陣とも密接になるだろうと思います。
PwC 林:
シナリオは、意思決定のポイントを想定しながら作っていきます。おそらくここには3つくらいの選択肢があるだろうと想定していた部分にさしかかると、経営層の方々が思った以上に現場に詳しく、技術的なことにも詳しいことが分かりました。私の想定を超え、経営層の方が具体的に指示していたことが印象的でした。
中部電力 澤井様:
中部電力は「現場を大切にする」という文化が根付いています。経営層に限らず、当社では、「現場にこそ課題・問題点を解決するヒントがある」という考えで、さまざまな立場、視点から現場業務に関与しています。
PwC 林:
サイバーセキュリティは他のインシデントとは違い、なにが起きているのか分からない状況で意思決定をせまられることが多いです。そういったモヤモヤとした中での意思決定は、経営層の方々もストレスがあったのではないでしょうか。
中部電力 澤井様:
今回の経営層向けサイバー攻撃訓練は、サイバー特有の事象が分からない中でどう判断をすべきかが大きな訓練趣旨です。まさにその点こそが重要だと思います。
経営側もサイバーに限らずさまざまな訓練を行っているので、特にストレスとは感じていなかったようです。どのように受け入れられるかは不安でしたが、「仮になにかが起きたときにどう動くか」という議論が行われました。その点では、訓練を実施して良かったと思っています。
経営層に対して、PwCと協力し想定問答集も用意しました。よくある選択肢としてネットワークを分断する、その場合こういった影響が出ます——といったことも準備しました。実はそういった検証はしっかりと整理できていないところもあったので、われわれとしてもこの準備作業が、良いノウハウの蓄積になりました。
※法人名、役職、対談の内容などは掲載当時のものです。
