AWS Startup ブログ

AWS Startup Blog: セキュリティインシデントに備えよう!テーブルトップエクササイズによる実践的セキュリティ対策ワークショップ

近年、ランサムウェアをはじめとしたセキュリティインシデントが頻繁に報道され、「自分たちも被害に遭うリスクにあらかじめ備えていくべきなのでは」と考えて、セキュリティソリューションの導入や定期的なバックアップなど、取り組みを開始されるお客様が増えています。

多くの組織がセキュリティ対策の具体的な技術や仕組みに注目する一方で、実際のインシデント発生時の対応準備は見過ごされがちです。テーブルトップエクササイズを通じて予行演習を行うことで、組織の準備状況の強みと弱みを明確に把握することができます。これにより、インシデント発生時に何ができて何ができないのかを事前に知ることができます。。本記事では、ワークショップの基本的な進め方やポイントを紹介します。

テーブルトップエクササイズとは?

テーブルトップエクササイズ(TTX)とは、机上演習とも呼ばれ、架空のシナリオを用いて、特定のインシデントにどう対処すべきかを参加者同士で議論しながら学ぶトレーニングです。主な目的は以下のとおりです。

  • 緊急時の対応能力を向上させる
  • 組織や業務プロセス、システム設計上の課題を洗い出す
  • 役割・責任の曖昧な部分を可視化し、改善する

特別な設備や高度なセキュリティ知識がなくても実践でき、前述の目的達成に役立てることができるため、幅広い業界・組織で取り入れやすいメリットがあります。

NIST IRプロセスとは?

このワークショップではインシデント対応プロセスに沿って進行します。今回は、米国国立標準技術研究所(NIST)の定義するインシデント対応(Incident Response, IR)プロセスである、NIST SP800-61 Security Incident Handling Guidelineを使った内容について紹介します。

NIST IRプロセスでは、セキュリティインシデントの対応を以下の4つのフェーズに分解して整理しています。

  • 準備(Preparation)
  • 検知と分析(Detection and Analysis)
  • 封じ込め、根絶、回復(Containment, Eradication and Recovery)
  • インシデント後の活動(Post-Incident Activity)

各フェーズを順に追いながら、架空のシナリオ上でどのように対応していくかを考え、最後に一連の流れを俯瞰して振り返ります。これによって、いま自分たちに不足しているものを発見し、次に向けた対策を立てることができます。

ワークショップの進め方

ここでは、5~6人程度のチームを想定したワークショップの流れをご紹介します。社内で一度に大勢を集める場合は、複数のグループに分けて同時進行するやり方がおすすめです。

ワークショップはステップごとに時間を区切って実施します。実際のインシデントを想定し、限られた時間内で議論を進め、方針や対応策をまとめてください。

CSIRTやCCoE所属のセキュリティ担当者がいる場合、ファシリテーター役としてワークショップに参加してもらい、議論が煮詰まったときに新しい視点・観点を投下していただくと、より深い議論ができます。ファシリテーター役は議論に加わりつつも、他の参加者の発言を促し、結論の導出をサポートしてください。

  1. アイスブレイク(約5分)

    まずは簡単に自己紹介を行い、それぞれがどんな業務をしているか共有しましょう。セキュリティ専門の方だけでなく、エンジニアやセールス、バックオフィスなど異なる職種の方々に参加してもらうと、さまざまな視点が得られ、ワークショップの質が高まります。

  2. 「準備」フェーズ(約15分)

    シナリオカードの配布・読み合わせ
    シナリオカードには、企業・業界の概要やアプリケーションの要件などが記載されています。自社を想定しても、架空の会社を設定しても構いません。シナリオカードのサンプルはこちら

    「どんな備えをしておけばいいか?」を議論
    シナリオカードの内容をふまえ、組織においてどういった備えをしておけばいいか議論します。

  3.  「検知と分析」フェーズ(約10分)

    イベントカードの配布・読み合わせ
    ここで、具体的なセキュリティインシデントが起きたという想定を示すカードを配ります。イベントカードのサンプルはこちら

    「初動と影響範囲の確認のため何をすればいいか?」を議論
    先ほどの「準備」フェースの議論と、イベントカードの内容に基づき、「まず誰が何を確認し、何を報告すればよいか?」を検討していきます。

  4. 「封じ込め、根絶、回復」フェーズ(約10分)

    被害拡大を阻止し、通常状態に戻すための対策を議論
    「感染した端末をネットワークから切り離す」「バックアップからの復元を試みる」など、具体的な対応策を洗い出します。

  5. 「インシデント後の活動」フェーズ(約10分)

    原因究明や再発防止策、保険申請などの検討
    インシデントが収束した後、どのように情報共有し、組織改善を図るかを話し合います。

  6. Debrief(約5分)

    NIST IRの各フェーズにおいて「見落としていたポイントはなかったか?」「実運用で使えそうな知見は何か?」などを共有し合います。話し合った中の案のうち、優先度が高いものをリストアップして実行計画に落とし込むとよいでしょう。

まとめ

テーブルトップエクササイズは、シナリオに応じて多用なセキュリティインシデントに対する備えを検討するための実践的な予行演習といえます。普段セキュリティ業務に携わっていない部門も巻き込みながら、チームの認識をすり合わせる機会として非常に有効です。

過去にAWSのお客様をお招きして実施した際には「幅広い知見を得られ、自分の想定外のアイデアに触れられた」「いざ復元しようとしてもバックアップがうまく動かない可能性があるといった、想定外の穴に気づくきっかけになった」といったポジティブな感想を多くいただきました。

まずは、ぜひ社内で一度実施してみてください。そこから得られた気づきをインシデント対応計画にまとめ、セキュリティインシデントへの備えを強化することができます。また、具体的な対策について支援が必要な場合は、AWSのソリューションアーキテクトにご相談ください。

セキュリティインシデントによる被害を「他人事」ではなく「自分事」として捉えられるかどうかが、企業のセキュリティリスクを大きく左右します。ぜひワークショップをきっかけに、自社の備えを見直してみてください。