Sansan-CSIRT CISO補佐の河村です。
日本ネットワークセキュリティ協会のゲーム教育ワーキンググループが製作・販売している「Malware Containment」をCSIRTと有志のメンバーでプレイしました。今回は、その様子をレポートしたいと思います。
ゲームのストーリー
「お客様より、うちから不審なメールが来たと連絡がありました」
事実確認を行ったがどうやら組織内の端末のどれかが、外部から遠隔操作されているらしい。チームメンバーはそれぞれの専門性を活かしながら、マルウエアに感染した端末の捜査を開始する。
3日後には、お客様に対する説明会を実施しなければならない。それまでにCSIRTチームは、マルウエアに感染した端末を特定し端末を封じ込めることができるのか・・・
ゲームの目的
プレイヤーは CSIRT として配布された役職カードの持つ能力を駆使し、ゲームボード上に設置された端末カードをめくったり、マルウエアに感染した端末を封じ込めることを目指します。
自部署を想像しながらやってみよう
ルールブックを見ながら説明していましたが・・・「それよりもやってみたい!」「やりながら理解すれば良いじゃん!」と声が上がり、ゲームのルールにあった「勤務時間(プレイ)中は会話無し」という制限をいったん取り払ってプレイしてみました。
最初は通信のIN/OUTの設定の理屈に戸惑ってしまったり、「おにぎり(差し入れ)イベントはノーティフィケーションが確保しちゃダメなの!?」「ノーティフィケーション担当は、ゲーム前半は伝言役みたい・・・」などと細かい設定を確認したりしながら、とりあえず始めてみたもののルールを把握するまでに少し時間を要しました。
ある程度ルールを理解したところでCISOの常樂も参加し、改めてプレイしました。カードの引きが良かったのか、それぞれのプレイヤーは実際のSansanでの役割とゲーム上での役割が大体一致するというミラクルが起き、自部署でのいつもの仕事を想像しながらゲームに臨みました。
実際のインシデント対応へ活用できること
取締役、CISO兼Data Strategy & Operation Center(DSOC)センター長の常樂もゲームに参加。
Malware Containmentをやってみて改めて感じたのは、タイムライン、記録、情報伝達の正確性は、とても重要ということでした。このゲームをプレイすることで、参加したメンバーそれぞれに得るものがあったと思います。
不正な通信のIN/ OUT を逆に伝えてしまうなど、うっかりしていて起こしてしまったミスも多くあり、実際のインシデント対応時だったら・・・と思うと肝を冷やしてしまう場面もありました。この他にも、各担当者がインシデント時にどういう動きをすべきなのか、平時のうちに決めておき、きちんと共有しておくのが良いと改めて実感しました。
これからもSansan-CSIRTは、セキュリティーと利便性を両立すべく、さまざまな活動を実施していきます。
text: Sansan-CSIRT CISO補佐 河村辰也
