総務省、標的型サイバー攻撃を「体験」する実践的防御演習を実施

　総務省主催のサイバー攻撃に対する実践的防御演習（CYDER：CYber Defense Exercise with Recurrence）が25日、都内で行われた。

標的型攻撃を「体験」することで対処方法を学ぶ

　総務省平成24年度補正予算「サイバー攻撃解析・防御モデル実践演習」の実証実験として、NTTコミュニケーションズ株式会社（NTT Com）、株式会社日立製作所（日立）、日本電気株式会社（NEC）が受託。3社の協力の下、新たなサイバー攻撃に対応するため、攻撃の解析および防御モデルの検討を行い、実践的な防御演習を官民参加型で行うもの。

　日立がサイバー攻撃の解析を、NTT Comが防御モデルの検討を、NECが実践的防御演習の実施を担当し、今回行われたのは実践的防御演習の第1回目。

　大規模LANに模した環境を構築し、官公庁や企業のLAN管理者/運用者が2～4名のチームを組み、参加チームごとに標的型攻撃を体験。異常の検知から対応、回復までのインシデントハンドリングに関する一連の流れを経験することで、サイバー攻撃への対処方法を学ぶ。

日立、NTT Com、NECの役割

演習の概要

　背景には、サイバー攻撃が巧妙化・複合化し機密情報の漏えいなどの被害が増加する一方、攻撃手法の解析が困難だったり、攻撃を受けた後の対処が確立されていなかったり、LAN管理者の対処能力が不足していて、その対策が十分ではないという状況がある。

　そこで被害の早期発見・対処（インシデントレスポンス）能力の向上を目的に、「日常の運用を考慮しながら事業継続を脅かす攻撃に対応できる『総合力の高い情報システム管理者』」の育成を目指し、CYDERを2013年度内に6回、今後5年間にわたって実施するという。

演習の様子

別室では各チームの進ちょくが表示されている

標的型メールによるマルウェア感染を想定

　1回目となる今回は、総務省・防衛省・法務省をはじめとする5省庁・7チームが参加。標的型メール攻撃でLAN内の端末がマルウェアに感染、外部のSOCから通報を受けた状況を想定し、チームごとにインシデントレスポンスを体験した。

　今後も演習を継続することなどから、演習の細かな条件などは明らかにされなかったが、大まかな内容としては「事務局のメールに返信」「上司にインシデント検知の報告」「感染PCの隔離を依頼」「検体を特定」「AVベンダーに解析依頼」「プロキシログの解析依頼」「他感染PCの特定・隔離」「攻撃の起点特定」「起動方法の特定」「実行履歴の確認」「漏えいの痕跡発見」「感染経路とその方法の特定」という12個のマイルストーンをクリアしていく形式。

　演習プログラムは各回2日間実施し、演習1日目の午前に講義、午後に実機を用いた演習を行った後、2日目の午後にグループワークを行い、他チームがどのように対処したのかなどの情報を共有するという。

柴山総務副大臣が視察

演習を視察する柴山総務副大臣

　演習の様子を柴山総務副大臣が視察する一幕も。副大臣は「標的型攻撃は巧妙化が進み、政府の注意喚起も昨年比2倍に。事前に防ぐのが望ましいが、侵入されたあとの対応力も重要となっている。その点、日本は遅れており、実践的な演習が必要とされていた。CYDERは数千人規模の官公庁のLAN環境を模した演習で、実際に起こりうる攻撃を現実に近い形で体験できる。また、日々の運用の中で対処を考え続ける心構えが重要。この体験を固有財産にして欲しい」と語った。

　今回の取り組みを通して、サイバー攻撃解析・防御モデルや検証方法モデルなどを成果物として公開する予定もある。総務省は「今年度中には何かしらの形で成果を公表したい」とした。