『サイバー攻撃演習は必須サービスだが墓穴を掘らないか?』
※
- 実際の対処方法を日頃から訓練するのは必要だろうが、運用系を止めるのは論外だから演習は困難。
- 脆弱性情報は超機密情報になるからその管理はまた大変だ。このような情報はセキュリティ関連技術者の間をあっという間に流れる。その技術者は他の企業(クライアント)にも教えたくなるものだ。企業名は伏せてあってもいずれ染み出てくる。
- 発見した脆弱性は間髪おかず修復する覚悟が必要だ。修復を来年度のプランに記載して安心しているIT主管がいたら配置換えした方がいいでしょう。
http://japan.zdnet.com/article/35061880/
カスペルスキー、サイバー攻撃演習を提供--ゲーム感覚でリスクを学習
山田竜司 (編集部) 2015年03月17日 17時07分
カスペルスキーは3月17日、サイバー攻撃による重要インフラへの影響をゲーム形 式で体験できる「Kaspersky Industrial Protection Simulation」(KIPS)を3月20 日から提供すると発表した。システムの運用上のリスクや投資に見合う対策を学習できるという。所要時間は約2時間、最小催行人数は10人、税別価格は30万円から。
KIPSはボードゲームとオンラインアプリケーションを組み合わせた対サイバー攻撃 演習。製造業やインフラ事業者などを対象にMHPSコントロールシステムズが販売する。
KIPSの参加者は数名ずつのグループに分かれ、条件や指示が書かれた30枚のカードと決められた予算、作業時間を有効に使いながら、サイバー攻撃を受けている水処理施設を守るための効果的な対抗策を実施する。5週間という期間内で最も高い生産性を維持したチームが勝つというゲーム性を持ち、ゲーム終了後にはどのような対応が適切だったのか、また攻撃者のシナリオと各チームの打ち手を比べ、ゲーム上で発生した事象に対する考察と理解を深めることができるという。
Kaspersky Labは、これまでに米国やロシア、マレーシア、英国など10カ国以上でKIPSを提供しており、2月には欧州原子核研究機構(CERN)でもゲームを実施した。
カスペルスキーは開発の背景について、昨今、電力、金融、政府・行政サービスなどの重要インフラへのサイバー攻撃は増加しており、米国では大統領令により原子力発電施設でのインシデントの発生を抑制するための対策が求められるなど、リスク回避の動きが高まっていると説明。日本でも2020年の東京五輪開催を控え、高度化する重要インフラへのサイバーテロ対策が急務とした。
一方、製造業や重要インフラ事業者の間では、情報システムに直接関与しない経営幹部や現場担当者のセキュリティに対する知識や関心は充分とはいえないと指摘。攻撃対象として、USBメモリやメール、ウェブサイトなど、従業員や関係者を経由したマルウェア感染に起因する事案が多く発生しているとし、経営者や現場担当者を含む、あらゆるレベルの関係者が、セキュリティへの理解を深めることが重要と説明している。
カスペルスキーでは今後、発電施設などへのサイバー攻撃のシナリオを用意、より専門性の高い重要インフラ事業者に演習の提供を拡大する予定とした。
※
