サイバー演習とは

　日本でもFIRST（Forum of Incident Response and Security Teams）や日本シーサート協議会に加盟しているCSIRTであれば（参考リンク：CSIRTとは何か？）、「サイバー演習」というものに参加したことがあるかもしれない。参加したとことがない企業担当者も、「サイバー演習」という名前や存在くらいは認識していることだろう。大規模なものでは、米国DHS（国土安全保障省）が実施する「Cyber Storm」などが有名である。

　このサイバー演習にはいくつかのパターンがある。よく行われるのは、攻撃側（攻撃者）と防御側（標的）に分かれて、標的となるサーバに侵入し、指定されたデータを盗んだり、特定の機能を実行させるといった攻撃と、それを防ぐ側の攻防を競う形式である。あるいは、主催者側が攻撃を行い、参加者がそれを防ぐという方法もよく実施されている。どちらも、制限時間があり、演習空間は外部のネットワークと分離された環境（国をまたいだとしても）で行う必要がある。

　後者に近い別の方法として、特定の攻撃シナリオを設定し、その攻撃が発生した前提で、各部署のとるべき行動や対処をトレースするという、「避難訓練」的な演習もある。このタイプの演習は、外部機関との連携作業や手順を確認したり、実際に行う避難訓練として行われることが多い。

なぜサイバー演習が必要なのか

　日本でも、JPCERT/CCと周辺諸国のNational CERTとの間で、合同サイバー演習などが適宜開催されているが、一般企業のセキュリティ部門や企業内CSIRTで、サイバー演習を経験したことがある、あるいは、実施しているというところは多くないだろう。

　その理由は、業務とは別に、インターネットやイントラネットとは隔離された環境を構築するハードルが高い（もっとも簡単な方法ではプライベートアドレスのLANセグメントを用意すればよいのだが）、実施ノウハウがない、そしてなにより、日本のセキュリティ担当者は防御については高い知識やスキルを持っているが、攻撃そのものを実務レベルで研究している人が少ないといった理由が挙げられるだろう

　近年のサイバー攻撃は、隠密裏に侵入しデータを抽出したり破壊工作を行うなど、発覚した時点で相当な被害を受けていることも少なくない。また、顧客や会員などの個人情報をクラウドやソーシャルネットワークで扱う業種が広がっており、情報漏えいやセキュリティインシデントによる被害が大きくなる傾向もある。

　また、インターネット黎明期のような愉快犯的なハクティビズムによるサイバー攻撃も増えている。

　こうした中で、サイバー演習を行うことで、実際に攻撃の兆候があった場合、それが本当の攻撃なのか、脅威になりうるのか、といった判断を的確に行うスキルが身に着く。そして、実際の攻撃だった場合の対処も冷静に行うことができるようになるだろう。

　特に、インシデントが発覚した場合、初動のミスは被害を広めたり、逆に世論の非難を浴びてしまうことさえある。本番で的確な対処をするためには、ポリシーやマニュアルの整備だけでは不十分である。やはり日ごろの訓練や演習は効果が高いといえるだろう。

【次ページ】マニュアル整備だけでは不十分という現実