2017.11.27

【CSIRT通信】Malware Containmentをやってみた

Sansan-CSIRT CISO補佐の河村です。

日本ネットワークセキュリティ協会のゲーム教育ワーキンググループが製作・販売している「Malware Containment」をCSIRTと有志のメンバーでプレイしました。今回は、その様子をレポートしたいと思います。

ゲームのストーリー

コンピュータセキュリティに関する問題に対応するため、専門家により結成されたチーム(CSIRT:シーサート)に、お客様サポートセンターから電話がかかってきた。

「お客様より、うちから不審なメールが来たと連絡がありました」

事実確認を行ったがどうやら組織内の端末のどれかが、外部から遠隔操作されているらしい。チームメンバーはそれぞれの専門性を活かしながら、マルウエアに感染した端末の捜査を開始する。

3日後には、お客様に対する説明会を実施しなければならない。それまでにCSIRTチームは、マルウエアに感染した端末を特定し端末を封じ込めることができるのか・・・

「Malware Containment」の説明書より

ゲームの目的

本ゲームは、参加者が進行役とプレイヤーに分かれてプレイします。進行役は、ゲームボード上に設置するカードと、カードから発信される不審な通信の流れを決めます。ゲームの流れに応じて情報が変化するため、その情報を管理し、ゲーム全体の進行を務めます。
プレイヤーは CSIRT として配布された役職カードの持つ能力を駆使し、ゲームボード上に設置された端末カードをめくったり、マルウエアに感染した端末を封じ込めることを目指します。

「Malware Containment」の説明書より

自部署を想像しながらやってみよう

20171125172122 f20fd1f7cbce708faa5297d3f79b26d4b15a0c92 - 【CSIRT通信】Malware Containmentをやってみた

ルールブックを見ながら説明していましたが・・・「それよりもやってみたい!」「やりながら理解すれば良いじゃん!」と声が上がり、ゲームのルールにあった「勤務時間(プレイ)中は会話無し」という制限をいったん取り払ってプレイしてみました。

最初は通信のIN/OUTの設定の理屈に戸惑ってしまったり、「おにぎり(差し入れ)イベントはノーティフィケーションが確保しちゃダメなの!?」「ノーティフィケーション担当は、ゲーム前半は伝言役みたい・・・」などと細かい設定を確認したりしながら、とりあえず始めてみたもののルールを把握するまでに少し時間を要しました。

ある程度ルールを理解したところでCISOの常樂も参加し、改めてプレイしました。カードの引きが良かったのか、それぞれのプレイヤーは実際のSansanでの役割とゲーム上での役割が大体一致するというミラクルが起き、自部署でのいつもの仕事を想像しながらゲームに臨みました。

実際のインシデント対応へ活用できること

20171125172055 13df760d16e0a25bf13d7a3baf4c7a3d770be0ea - 【CSIRT通信】Malware Containmentをやってみた

取締役、CISO兼Data Strategy & Operation Center(DSOC)センター長の常樂もゲームに参加。

Malware Containmentをやってみて改めて感じたのは、タイムライン、記録、情報伝達の正確性は、とても重要ということでした。このゲームをプレイすることで、参加したメンバーそれぞれに得るものがあったと思います。

不正な通信のIN/ OUT を逆に伝えてしまうなど、うっかりしていて起こしてしまったミスも多くあり、実際のインシデント対応時だったら・・・と思うと肝を冷やしてしまう場面もありました。この他にも、各担当者がインシデント時にどういう動きをすべきなのか、平時のうちに決めておき、きちんと共有しておくのが良いと改めて実感しました。

これからもSansan-CSIRTは、セキュリティーと利便性を両立すべく、さまざまな活動を実施していきます。

text: Sansan-CSIRT CISO補佐 河村辰也

Pickup