IR SIMULATION EXERCISE
実戦経験と調査研究から得た知見を活用した
独自の演習プログラムでインシデント対応をシミュレーションサイバー攻撃は、近年益々高度化/複雑化しており、特に身代金の支払いを目的とするランサムウェアは最大の脅威であり、サイバーセキュリティ対策が万全でも被害を完全に避けることは困難です。多くの企業が実施している予防的なサイバーセキュリティ対策だけでは、実際に有事が発生した際に、円滑に対応できない、もしくは効果的な対応ができないために、インシデントの被害拡大によるビジネス機会の損失やレピュテーション低下等の事業リスクに繋がります。
このような背景を踏まえ、企業には予防的なサイバーセキュリティ対策だけでなく、被害発生を前提とした対策が求められており、その有効な対策として、被害発生後の組織的な対応をシミュレーションする「インシデント対応演習」があります。サイバー攻撃の被害を最小限に止めるとともに、早急な機能回復を図れるかの実効性を検証し改善を繰り返すことで、組織におけるサイバーレジリエンスを効果的に強化することができます。
サイバーリーズンでは、インシデント対応におけるサイバーリーズンの豊富な実戦経験から得た知見と、サイバーリーズンが調査・研究している最新のサイバー脅威の動向、および演習を実施する企業・組織の置かれる状況を踏まえた現実的な攻撃シナリオを用いて、インシデント発生時の対応をシミュレーションし、実効性を検証できる「インシデント対応演習サービス」を提供しています。
お客様のベネフィット
インシデント対応演習サービス
- インシデント対応に係る
サイバーリーズンの
知見の提供 - サイバー攻撃の動向と
お客様環境を踏まえたシナリオを提供 - 演習実施の目的に応じて
柔軟にカスタマイズ
POINT組織のサイバーレジリエンスの強化には、インシデント対応演習が効果的です。
インシデント対応演習サービスの特徴
サイバーリーズンの過去経験から得たインシデント対応に係る知見を最大限活用し、昨今のサイバー攻撃の動向およびお客様状況を踏まえ、より現実的な攻撃シナリオを用いたインシデント対応演習を提供します。
インシデント対応に係る
弊社知見の提供インシデント対応演習に加え、CSIRT構築やインシデント対応手順策定の経験から得た、インシデント対応全般に渡る弊社知見を最大限活用してサービスを提供します。
全体感を踏まえて、演習時の助言、課題の特定、改善策の提案をさせていただきます。
経験から培った知見を提供
サイバー攻撃の動向とお客様環境を踏まえたシナリオを利用
日々サイバー攻撃に対応する弊社ならではのサイバー攻撃の最新の傾向と、お客様の環境も踏まえたシナリオを演習で利用させていただきます。
それにより、参加者様に当事者意識を持っていただき参加いただくことで、有事の際の考え方について理解を深めていただきます。
インプットを踏まえた
リアルなシナリオ
演習実施の目的に応じて
柔軟にカスタマイズお客様のインシデント対応演習を実施する目的に応じて、演習内容を調整します。
例えば、参加者の役割や責任に応じたシナリオ(CSIRT向けや経営層向け)の準備、現地又はオンラインでの実施等、ある程度柔軟に対応可能ですので、まずは要件を確認させていただきます。
参加者に合わせた
シナリオを準備
演習イメージ
演習は、参加者の役割や責任に応じたシナリオを利用して実施します。以下は、パターン1:CSIRT向け、パターン2:経営層向けの2つのシナリオの例です。
どちらのシナリオにおいても参加者の皆様にインシデントの各シーンにおいて、対応方針/アクションを検討/決定いただきます。また、弊社から考え方の助言や振り返りを適宜実施し理解を深めていただきます。
パターン1: CSIRT向け演習シナリオの例
- 不審なメールを認知し
対応方針の検討 -
不審メール受信という攻撃の兆候を認知した際、CSIRTは、どの様な考え方で、どの様に対応していくか、様々な可能性を検討/決定いただきます。
- マルウェア被害の可能性を認知し
具体的な調査方法を検討 -
情報搾取系マルウェア被害の可能性という具体的なセキュリティリスクを認知した際、CSIRTはどの様な考え方で、どの様に具体的に調査していくか、検討/決定いただきます。
- 被害の全容と侵入経路を特定し
具体的な対応を検討 -
被害の全容と侵入経路を特定した後、CSIRTはどのような考え方で、どの様に具体的に対応していくか、検討/決定いただきます。
パターン2: 経営層向け演習シナリオの例
- ランサムウェア被害と身代金請求を受け、
それに対する対応を判断 -
IT部門から、社内システムがランサムウェアに感染し、身代金を請求された旨の報告を受けました。
その場合、どの様に指示すべきか、考え方と共に検討/決定いただきます。 - 更なる被害拡大防止のため、
業務影響のある対応をすべきか判断 -
初回報告時の被害に加え更なる被害が確認されたため、 IT部門から、被害拡大防止策として社外との通信遮断の判断を求められました。
その場合、どの様に指示すべきか、考え方と共に検討/決定いただきます。 - 社外に向けた情報提供に関して、
いつ、誰に向け、何を提供すべきか判断 -
インシデントの全貌が明らかとなり対応方針も確定したことから、IT部門から、外部関係者に対し情報提供すべきか判断を求められました。
その場合、どの様に指示すべきか、考え方と共に検討/決定いただきます。
成果物イメージ
成果物は、演習資料、報告書を納品します。
演習資料
- インシデント対応演習で利用する資料を作成します。
- 基本的に、演習の目的、ルール、スケジュール等の基本的な内容に加え、インシデントのシナリオを準備し、シナリオの中で、検討/決定を求めるシーンを複数準備します。
- 振り返りに利用するため、各シーンにおける考え方や対応例等を準備します。
報告書*1
- インシデント対応演習の概要と評価結果を纏めた資料を作成します。
- 評価結果としては、インシデント対応の流れに従った評価項目毎に、定性的に評価した内容を記載します。
- また、評価結果に加え、インシデント対応の際の考慮点、発見した課題、及び推奨対策を記載します。
*1 経営層向けの演習等、インシデント対応としてのあるべき姿に照し合せた評価ができない場合は、報告書を提示しない点にご留意ください。
サービスの進め方と実施スケジュール
事前準備から演習実施までの工程を通常1ヶ月程度で実施します。
なお、ここでは、参加者が10名程度であり3時間程度の演習を実施する場合を想定しています。
STEP1
事前準備1週間程度
キックオフとして、スコープ*2や進め方の認識合わせを実施します。
- タスク
-
- キックオフ
STEP2
ヒアリング1週間程度
演習計画作成に必要なお客様情報について、ヒアリングシートの内容と、それに基づくヒアリングを通じて、確認します。
- タスク
-
- ヒアリングシート記入
- ヒアリング実施
STEP3
演習資料/計画作成1週間程度
演習計画を検討の上、演習資料を作成します。
- タスク
-
- 演習計画検討
- 演習資料作成
STEP4
演習資料作成1週間程度
演習を実施します。また演習で発見した課題と改善策について、弊社からお客様に報告します。*3
- タスク
-
- 演習
- 課題抽出と改善策検討*3
- 報告内容取り纏め*3
- 報告*3
*2 演習の参加者数、方法、内容、時間等のスコープは、本Step以前に合意し契約締結できている想定となります。
*3 経営層向けの演習等、インシデント対応としてのあるべき姿に照し合せた評価ができない場合は、報告書を提示しない点にご留意ください。