その他コンピュータ

セキュリティ専門メールマガジン Scan

「Scan」は、1998年創刊の、国内初の情報セキュリティ専門媒体です。企業の情報システム部門、総務法務部門、経営層へ向け、新しいウイルスや脅威、不正アクセス事件や裁判、セキュリティホール、エクスプロイト、それに対応する新技術・製品情報、インタビュー、市場レポートをお届けします。

メルマガ情報

創刊日:2000-06-21  
最終発行日:2019-01-21  
発行周期:週2回  
Score!: - 点   

規約に同意してこのメルマガに登録/解除する

このメルマガは最新記事のみ公開されています。

エンジニアに一番必要なのは「○○!」の気持ち Scan BASIC [2019/01/21 Vol.1258]

2019/01/21

━━━━━━━━━━━━━━━━━━ http://scan.netsecurity.ne.jp/ ━
□■ S c a n  B A S I C ■□  2019/01/21 Vol.1258
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
--------------------------------------------------------------〔AD〕--
╋━━ 無料セミナー『セコムが語る最新のサイバー攻撃事例と対策』 ━━╋
「Windows 10 AD 徹底活用方法」「事例でわかる Office 365 あんしん移行」
「セコムがおすすめするエンドポイントセキュリティ」「攻撃実例紹介」
╋ オリンピックまであと1年半。急増が予測されるサイバー攻撃対応には ╋
2019年1月24日(木)14時 https://www.secomtrust.net/event/2019/0124.html 
----------------------------------------------------------------------
--------------------------------------------------------------〔AD〕--
■■■■■トレンドマイクロ「2019年セキュリティ脅威予測」■■■■■
     最新脅威動向と IT 技術をとりまく市場動向を基に脅威予測を実施 
「個人利用者」「企業」「社会・政治状況」「セキュリティ業界」「産業制御
 システム」「クラウドインフラ」「スマートホーム」別の脅威分析と対策案
https://resources.trendmicro.com/jp-docdownload-form-m099-edm-2019prediction.html
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
目次
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】ニュース
----------------------------------------------------------------------
【02】潜入ルポ:実際の ADAS 車両へのサイバー攻撃セミナー
----------------------------------------------------------------------
【03】セキュリティエンジニアに一番必要なのは「好き!」の気持ち、
MBSD Cybersecurity Challenges 2018 レポート
----------------------------------------------------------------------
【04】アナログゲームで体験するサイバーセキュリティ模擬訓練
 〜 インシデント対応ボードゲーム金融版ワークショップレポート
----------------------------------------------------------------------
【05】カテゴリ別ウイークリー記事ランキング
----------------------------------------------------------------------
------------------------------------------------------------〔info〕--
 自動車セキュリティ実車デモセミナー
「ADAS車両のCANバスを介するサイバー攻撃実証とその対策」
 講師:広島市立大学 井上博之 准教授 (カーハッカーズ・ハンドブック監修)
愛知 2月22日(金) : https://event.iid.co.jp/event/event6806/ 
東京 3月15日(金) : https://event.iid.co.jp/event/event6809/ 
----------------------------------------------------------------------
編集部からのお知らせ

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【01】ニュース
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
----------------------------------------------------------------------
●三井住友銀行を騙るシンプルなメールに注意(フィッシング対策協議会)
https://scan.netsecurity.ne.jp/article/2019/01/18/41852.html

●「はるか夢の址」運営者など3名に実刑判決、最長懲役3年6カ月(ACCS)
https://scan.netsecurity.ne.jp/article/2019/01/18/41851.html

●2018年の国内セキュリティサービス市場は7,924億円、2022年には9,714億円(IDC Japan)
https://scan.netsecurity.ne.jp/article/2019/01/18/41850.html

●サイバーセキュリティでも「セコム」、来週24日 セミナー開催
https://scan.netsecurity.ne.jp/article/2019/01/16/41842.html

●日本初上陸の電子メール「分離」技術をお披露目、Menlo 社チーフアーキテクト来日(マクニカネットワークス)
https://scan.netsecurity.ne.jp/article/2019/01/16/41843.html

●OracleがJavaをアップデート、Java SE 8の商用ユーザは特に注意(JPCERT/CC、IPA)
https://scan.netsecurity.ne.jp/article/2019/01/17/41844.html

●インシデント報告件数、「フィッシングサイト」と「スキャン」が拮抗(JPCERT/CC)
https://scan.netsecurity.ne.jp/article/2019/01/17/41848.html

●地下市場をやめ独自のショップを開設する犯罪者が増加--四半期レポート(マカフィー)
https://scan.netsecurity.ne.jp/article/2019/01/17/41847.html

●MSSや社内SOC向けのマルチテナント型インシデント管理ツール(GRCS)
https://scan.netsecurity.ne.jp/article/2019/01/17/41846.html

●Windows 7などのサポート終了に対し、現状と支援施策を発表(日本マイクロソフト)
https://scan.netsecurity.ne.jp/article/2019/01/17/41845.html

●「Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0」を公開(脆弱性診断士スキルマッププロジェクト)
https://scan.netsecurity.ne.jp/article/2019/01/16/41837.html

●Amazonプライム会員の更新のためにカード情報を登録させるニセメール(フィッシング対策協議会)
https://scan.netsecurity.ne.jp/article/2019/01/16/41836.html

●IoTセキュリティへの取り組み、日本企業の低さが明らかに(ジェムアルト)
https://scan.netsecurity.ne.jp/article/2019/01/16/41835.html

●コネクテッドカーのECUに1カ月あたり平均30万回の攻撃(アズジェント)
https://scan.netsecurity.ne.jp/article/2019/01/16/41834.html

●クラウドサービスを安全に利用するためのプライベートサーバ機能を提供(ALSI)
https://scan.netsecurity.ne.jp/article/2019/01/16/41833.html

●「FFRI yarai」の管理コンソールをクラウド化(FFRI)
https://scan.netsecurity.ne.jp/article/2019/01/16/41832.html

●オムロンの「CX-One」に任意コード実行の脆弱性(JVN)
https://scan.netsecurity.ne.jp/article/2019/01/15/41828.html

●スマートスピーカーや5G回線の悪用など予測--2019年のセキュリティ(ジュニパーネットワークス)
https://scan.netsecurity.ne.jp/article/2019/01/15/41829.html

●プロアクティブな対策に必須の「サイバーインテリジェンス」入門セミナー(マキナレコード)
https://scan.netsecurity.ne.jp/article/2019/01/16/41840.html

●フィッシングサイトで詐取されたアカウントから迷惑メールを多数配信、個人情報漏えいの可能性も(東京外国語大学)
https://scan.netsecurity.ne.jp/article/2019/01/15/41830.html

●不正アクセスによりホームページが改ざん被害、現在は復旧済み(南紀白浜観光局)
https://scan.netsecurity.ne.jp/article/2019/01/16/41839.html

●国際学会で離席した隙をつかれノートパソコンが盗難被害に(長岡技術科学大学)
https://scan.netsecurity.ne.jp/article/2019/01/16/41838.html

●パソコン出張サポートの申込者情報がインターネット上で閲覧可能状態に(ケーズホールディングス)
https://scan.netsecurity.ne.jp/article/2019/01/17/41849.html

━━━━━━━━━━━━━━━━━━━━[Scan PREMIUM 会員 限定記事]━
【02】潜入ルポ:実際の ADAS 車両へのサイバー攻撃セミナー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 探究心に富む本誌読者でも、自動車へのサイバー攻撃実験や、その体験をし
たことのある人は多くないだろう。自動車メーカーや大学の研究室レベルの実
験が多く、論文や専門的な国際会議以外では表に出ることが少ないからだ。

● NDA が必要な実践的カーセキュリティセミナー

 昨秋、実際の車両を用いて CAN ネットワークに介入し、疑似的なサイバー攻
撃を再現・体験するセキュリティセミナーが開催された。講師を務めたのは、
広島市立大学の井上 博之 准教授だ。大学での関連研究の他、O'Reilly Media 
から発行された「Car Hacker's Handbook」の監修を担当するなど、自動車サイ
バー攻撃研究の国内第一人者のひとりである。

実際の車両を用いて CAN ネットワークに介入し、疑似的なサイバー攻撃を再
現・体験するセキュリティセミナー
https://scan.netsecurity.ne.jp/article/2018/08/22/41308.html

「Car Hacker's Handbook」
https://amzn.to/2BvKk3r

 誰でも受講できるオープンセミナーで、実車を使ったサイバー攻撃の実証を
伴うものは国内では過去にあまり例がない。記者枠で聴講を認められた筆写が
講義と演習の内容をレポートする。

 開催前日、井上氏が一括で購入し所有権を持つ実験用車両が、都内の某所の
自動車教習所へひっそり陸送された・・・

[写真] 自動ブレーキ制御への介入実験、段ボールに衝突した
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25435.html

[写真] 自動ブレーキ制御への介入実験、ブレーキの制御を失った状態で走行する車両
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25434.html

[写真] 広島市立大学 情報科学研究科 情報工学専攻 准教授  井上 博之 氏
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25440.html

[写真] セミナー受講者は 3 名ずつに分かれて同乗する
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25775.html

[写真] 机上演習に使われた実験環境。メーターパネルは実際の車両の部品
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25431.html

[写真] パケットアナライザの画面の見方を解説する井上 准教授
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25433.html

[写真] CANアナライザの使用
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25439.html

[写真] FPGAで作ったというバスオフ攻撃とECUの代わりをするマイコンボード
https://scan.netsecurity.ne.jp/article/img/2019/01/18/41853/25441.html

※ この記事は Scan PREMIUM 会員限定です   > https://goo.gl/MUZwlS
※ 会員向けメルマガサンプル > https://goo.gl/VABI6K

《中尾 真二》

----------------------------------------------------------------------
・ Scan PREMIUM 倶楽部(内容,申込,法人契約)> https://goo.gl/MUZwlS
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━[Scan BASIC 会員 限定記事]━
【03】セキュリティエンジニアに一番必要なのは「好き!」の気持ち、
MBSD Cybersecurity Challenges 2018 レポート
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 「好きこそ物の上手なれ」と言われるが、セキュリティの分野も例外ではな
い。毎日毎日報告される脆弱性をチェックし、どんな影響があるか、どうすれ
ば対策できるかを調査していくのも、好奇心や興味がなければ続かない。

 そんな好奇心を抱く学生を発掘し、発揮してもらう試みが、専門学校・高等
専門学校生を対象にしたセキュリティコンテスト「MBSD Cybersecurity 
Challenges」だ。3回目となる「MBSD Cybersecurity Challenges 2018」の参加
チームは前回の79チームからさらに大幅に増え、全国36校から106チームがエン
トリーした。また新たなスポンサーも増え、支援が広がっている。

 12月12日に行われた最終選考会の冒頭挨拶において、主催の三井物産セキュ
アディレクション(MBSD)の代表取締役社長、神吉敏雄氏は、参加者に向けて
ぜひセキュリティ業界を志してほしいと呼び掛け、さらに「では、どんな人材
が必要かと言うと、『好き』な人が一番。好きじゃないと続かない」と述べた。

 「好きが一番大事。そもそもこのコンテスト自体、誰かにやれと言われたり、
命令して実現したわけではなく、担当社員がやりたいからやっている。皆さん
にはぜひ、どんどん進化しているセキュリティの世界を好きになってほしいし、
挑戦してほしい」と呼び掛けた。

 ちなみにMBSDでセキュリティを「好き」でやっているエンジニアは、普段ど
んな具合に仕事をしているのだろうか。例えばIDS/IPSで攻撃を検出するシグネ
チャを確認して不要なものを削る場合、普通のオペレーターならば、SOCに上
がってくるアラートを見て判定するだけだ。だが「本当に好きな人は、最新の
脅威動向を踏まえた上で『この手法は、今は流行っていないから今はいらな
い』という具合に、何を削り、何を残すかの作業を楽しみながらやっている」
という。

●ログを解析し何が起きたかを明らかにーー180度異なる視点が求められた今回
の問題

 コンテスト参加者の多くはやはり「セキュリティが好き」で、自らいろいろ
な知識を身につけたり、勉強会に参加してきた経験を持っていたようだ。だが
今回は過去とはがらっと課題が変わり、これまでとは異なる視点が求められた。

 過去のMBSD Cybersecurity Challengesは、課題として与えられたWebサイト
にどのような脆弱性があり、どのようなリスクがあるかを攻撃者的な視点で検
査し、対策とともに報告するというものだった。これに対し今年の大会では、
脆弱性を修正しないまま運用していたSNSサービスがとうとう本当に不正アクセ
スを受けてしまったため、ログなどのデータを解析して「何が起きたのか」を
突き止め、対策と再発防止策を提案していくという、現実のセキュリティコン
サルタントさながらの問題が与えられた。

 MBSDによると、侵害を受けたSNSサイトは第1回の大会で問題として使われた
サービスを再利用したものだという。システムはSQLインジェクションやクロス
サイトスクリプティングにはじまり、MySQLの設定不備やLinuxカーネルの
「Dirty Cow」の脆弱性、sendMessage.phpの脆弱性など、多数の問題を抱えて
いた。

 そしてこれらの脆弱性を放置してSNSの運用を続けた結果、外部からのスキャ
ンからデータベースへのアクセス、PHPを介した不正なファイルのアップロード、
顧客情報の漏洩、トップページ改ざんにユーザー日記の改ざん、フィッシング
サイトへの誘導……といった具合に、てんこもりの被害を受けてしまった。学
生らは残されたログデータやアプリケーションのソースコードを元に、「いつ、
何が起きたか」をまとめ、被害企業に報告するセキュリティコンサルタントの
役割を担った。

 MBSDのプロフェッショナルサービス事業部副部長、吉田裕也氏らによると、
「ログを元に何が起きたかを見つけていく『スレットハンティング』に対する
注目が高まっている」トレンドがあるという。今回のSNSサイトのように、多く
の被害が発生しないよう、日々のスレットハンティングが大事だ。脆弱性診断
やバグバウンティといった攻撃者の目線に基づくスキルも重要だが、今回の問
題では「守る人材」に必要なフォレンジックや論理的に考えるスキルの重要性
を意識してもらえたようだ。

●随所にユニークな視点や工夫が見られた最終審査会のプレゼンテーション

 予選通過を目指してレポートを提出した80チームの中から審査を経て選ばれ
たのは、以下の10チームだった。

わふ  日本工学院八王子専門学校
https://www.neec.ac.jp/hachioji/
竹花森のくまさん  東京電子専門学校
https://www.tokyo-ec.ac.jp/
IPFactory  情報科学専門学校
http://isc.iwasaki.ac.jp/
MOFFU_MOFFU_ISC  情報科学専門学校
http://isc.iwasaki.ac.jp/
なにわのシリコンバレー:latest  ECCコンピュータ専門学校
https://comp.ecc.ac.jp/
Team.Aoki  静岡産業技術専門学校
http://www.sangi.ac.jp/
NEthernet ?  東北電子専門学校
http://www.jc-21.ac.jp/
LynT4χ  東京都立産業技術高等専門学校
https://www.metro-cit.ac.jp/
なんでもいい  麻生情報ビジネス専門学校
http://www.asojuku.ac.jp/
表示エラー  名古屋工学院専門学校
http://www.denpa.ac.jp/

 これら10チームが最終審査会で、審査員を前にしてプレゼンテーションと質
疑応答を行い、レポート内容と合わせて総合的に評価が行われた…

※この記事は BASIC MEMBERS 登録(無料)すればすぐに閲覧可能です。
https://id.iid.jp/service/url/9nF2daIU/p/

[写真] 最優秀賞に輝いた「IPFactory」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26211.html

[写真] 2位の「MOFFU_MOFFU_ISC」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26213.html

[写真] 3位の「なんでもいい」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26215.html

[写真] 「1人は海外出張(研修)中」ながら堂々とトップバッターを務めた
Team.Aoki」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26210.html

[写真] 「ログが改ざんされている可能性は考えた?」という審査員の厳しい質
問に苦笑する「IPFactory」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26212.html

[写真] 1人チームでログを解析し、最終選考会に残った「表示エラー」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26214.html

[写真] ステークホルダーを意識したプレゼンを行いつつ、チーム紹介文と実構
成の違いを突っ込まれた「わふ」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26216.html

[写真] 「テーマは攻撃じゃなく調査!」とツッコミを受けた「なにわのシリコ
ンバレー:latest」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26217.html

[写真] 技術面での対策はもちろん、社員のセキュリティ意識向上が重要と強調
した「NEthernet ?」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26218.html

[写真] 後輩を加えながら連続出場を果たし、技術面から丁寧に深掘りした解説
を行った「竹花森のくまさん」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26219.html

[写真] 流出した情報の種別ごとに想定賠償額を算出し、「数字」の形で影響度
を示した「MOFFU_MOFFU_ISC」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26220.html

[写真] 何が原因となり、何が漏れたか、対策はどうあるべきかを過不足なく説
明した「なんでもいい」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26221.html

[写真] 経営層の責任を指摘し、いつまでに何をすべきかを整理して提示した
「LynT4χ」
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26222.html

[写真] 参加者とスタッフ集合写真
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26223.html

[写真] 三井物産セキュアディレクション株式会社 代表取締役社長 神吉敏雄氏
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26225.html

[写真] 「今勉強していることは、きっと将来役に立つ」三井物産セキュアディ
レクション株式会社 セキュアアナリスト、小河哲之氏
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26227.html

[写真] MBSD Cybersecurity Challenges 2018 審査員の面々
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26228.html

[写真] 「MBSD Cybersecurity Challenges 2018」会場
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26224.html

[写真] 懇親会の様子
https://scan.netsecurity.ne.jp/article/img/2019/01/16/41841/26226.html

《高橋 睦美》

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【04】アナログゲームで体験するサイバーセキュリティ模擬訓練
 〜 インシデント対応ボードゲーム金融版ワークショップレポート
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
 お正月は、トランプや花札などのカードや、すごろくや人生ゲーム、モノポ
リーのような各種ボードゲームなど、さまざまなアナログゲームで楽しまれた
読者も多いかもしれない。

 本稿ではこれまでに国内で企業・団体・個人によって開発・配付された、情
報セキュリティ、サイバーセキュリティをテーマとした各種ゲームを、おもに
アナログゲームを中心にふり返りながら、ゲーム活用の実践編として、セキュ
リティ企業によって開発製作された、サイバー攻撃対応のシミュレーションを
机上で行う「インシデント対応ボードゲーム 金融版」の昨年行われたワーク
ショップの模様をレポートする。

●セキュリティ関連のゲーム一覧

・セキュリティ投資すごろく(西日本電信電話株式会社)2008 年 4 月
https://www.ntt-west.co.jp/solution/solution/category/ntt_sugoroku.html
情報システム部門向け、Adobe Flash Player を利用した Web のすごろくゲー
ム、情シスとして各種セキュリティ対策を実施する。わかりやすさを追求し振
り切った世界観が面白い

・セキュろく(認定特定非営利活動法人イーパーツ)2010 年
http://www.eparts-jp.org/project/2013/01/securoku130118.html
子供向けのセキュリティリテラシー教育を目的としたすごろくゲーム。佐々木
良一先生監修

・フィッシング フィル(フィッシング対策協議会)2010 年 3 月
https://www.antiphishing.jp/phil/
コンシュマーユーザ向け、アウェアネストレーニング大手の米ウオンバット社
によるフィッシングサイトの怪しい URL を見抜く Adobe Flash Player を利用
したゲーム

・蛇とはしご(OWASP)2014 年 10 月
英語版
https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders
日本語 Web アプリケーション版
https://www.owasp.org/images/d/db/OWASP-SnakesAndLadders-
WebApplications-JA.pdf
日本語 モバイルアプリ版
https://www.owasp.org/images/c/c1/OWASP-SnakesAndLadders-MobileApps-JA.pdf
ソフトウェア開発者向け、アジア発祥の古典ボードゲームをアレンジしている、
セキュアコーディングを善、アプリケーションの脆弱性を悪とした世界観

・APT Challenge(BATOIKU Games)2015 年 3 月
https://boardgamegeek.com/boardgame/182418/advanced-persistent-threat-challenge
一般向け、知財奪取を狙って標的型攻撃を互いに仕掛け合う、大手セキュリ
ティ企業で脅威分析等を行う研究者である林氏開発

・スシコン(BATOIKU Games)2015 年 8 月
https://boardgamegeek.com/boardgame/182416/sushicon
コンシュマーユーザ向け、米 APWG と NCSA が展開するリテラシー教育キャン
ペーン STOP. THINK.CONNECT. (立ち止まる、考える、楽しむ) を学ぶカード
ゲーム、APT Challenge と開発者同

インシデント対応ボードゲーム(トレンドマイクロ株式会社)2016 年 7 月
https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/learning.html
実務者向け、インシデント対応演習を行うボードゲーム

Kaspersky Interactive Protection Simulation(KIPS)オンライン版(株式会
社カスペルスキー)2017 年 2 月
http://www.kaspersky.co.jp/enterprise-security/cybersecurity-awareness
実務者向け、インシデント対応を行うボードゲームで日本で過去何度も大会が
開催されている

セキュリティ専門家 人狼ゲーム(特定非営利活動法人日本ネットワークセキュ
リティ協会)2017 年 1 月
https://www.jnsa.org/edu/secgame/secwerewolf/secwerewolf.html
CSIRT 担当者向け、ネット上で盛り上がった心理戦ゲームの CSIRT 版、CSIRT 
側または内部不正側に分かれて戦う

Malware Containment(特定非営利活動法人日本ネットワークセキュリティ協
会)2017 年 6 月
https://www.jnsa.org/edu/secgame/malcon/malcon.html
CSIRT 担当者向け、イントラネットに忍び込んだ RAT をあぶり出す

インシデント対応ボードゲーム金融版(トレンドマイクロ株式会社)2018 年 3 

https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/learning.html
実務者向け、2016 年に出されたボードゲームの金融版、FISC のガイドライン
に沿った他、さまざまな IR の実例も盛り込まれている

●ゲームの意義

 上記のように、実はセキュリティを題材にしたゲームも過去 10 年間で多数
開発・製作されており、プレイヤーの数も決して少なくない。

 セキュリティ対策は、事故発生などのイレギュラーな事象への対応が主とな
るが、そうそうインシデントは起きるものではない、そのため、事故発生やそ
の対応を気軽にゲームとして疑似体験できる点にこそこれらのゲームの利点が
ある。

 すごろくや少人数で行うゲームはすぐに楽しむことができるが、シナリオが
複雑で、複数名で実施するようなゲームはどのように活用し、楽しめばいいの
だろうか。昨年行われた、インシデント対応のボードゲームをプレイするワー
クショップの模様をお届けしながら、それを考えてみよう。

●FISC 手引書を参考にしたボードゲーム

 2018 年 3 月、トレンドマイクロは「インシデント対応ボードゲーム 金融
版」の無償ダウンロードを開始した。セキュリティインシデント対応の模擬訓
練を行うためのゲームで、公益財団法人金融情報システムセンター( FISC )
が発行する「金融機関等におけるコンティンジェンシープラン(災害時の緊急
時対応計画)策定のための手引書」を参考に、金融業界特有の環境やリスクを
想定したものだ。公開から 2018 年末までに、すでに 460 件ダウンロードされ
ている。

「金融機関等におけるコンティンジェンシープラン(災害時の緊急時対応計
画)策定のための手引書」
https://www.fisc.or.jp/publication/disp_target_detail.php?pid=215

 これに先立つこと 2016 年 7 月より、同社は汎用的な「インシデント対応
ボードゲーム」を無償提供してきた。これを金融版に拡張すると同時に、「イ
ンシデント対応ボードゲーム スタンダード版」としてリニューアルを行った。
ダウンロード数については、旧バージョンは 3,531 件( 2016 年 7 月公開時
から 2018 年 3 月 21 日まで)、スタンダード版は 2018 年 3 月 22 日の公
開時から 2018 年末までの期間で 5,113 件に上る。

 同社ではこれらのボードゲームを携えて依頼に応じて取引先に出向くなどし
て、多数のセキュリティワークショップを重ねてきた。そして金融版のリリー
スを受け、2017 年 4 月 27 日と 5 月 25 日の 2 回、参加費無料で「金融業
界向けインシデント対応ワークショップ」を開催した。特定の組織に向けたも
のではなく、Web で申し込みを受け付けるなどして、広く参加者を募った。

 まずは基本情報としてゲームのルールを簡単に紹介してから、続いて本題と
して 2 回目のワークショップ当日の流れや裏側を、ファシリテーターや参加者
のコメントを交えて報告する。

●ボードゲームルール

 このゲームは勝者を決めるためのものではなく、参加者が同じ企業の一員と
して 1 つのチームとなり、一定の制約(コイン)の元、与えられた情報(イベ
ント)から結論(アクション)を導き出すことを目的としている。ゲームを開
始する前に、まずは参加者に、経営責任者、事業部門責任者、情報システム部
門責任者、システム管理者、セキュリティ担当者、広報担当者といったロール
を割り当てる。

 また、企業の保有する資産とブランドを表すものとして、2 種類のコインが
規定の枚数分、場に置かれる。「資産ポイント」や「ブランドポイント」と
いった持ち金(コイン)を設けることで、ゲーム感覚で楽しく行えるようにし
ながらも、実際に組織でインシデント対応を行うにあたって現実に損失しうる
費用やブランドイメージにも意識を向ける意図があるという。

 イベントカード(「不正なサーバへのアクセスを検出」など)を 3 枚引くと
ゲームが始まる。イベントカードを元に発生しているインシデントを予測し、
インシデント対応プランを検討する。この時、参加者は割り当てられたロール
に即して議論を行う。そこで得られた結論から、アクションカード(「対象機
器を調査する」など)を 2 枚選ぶ。最後に、資産およびブランドに与えた影響
として、アクションカードに記載されている枚数に従ってコインを支払う。な
お、ゲーム中にコインが増えることはない。これで1ラウンドが終了するが、
ゲームボードには 2回分の場が用意され、2 ラウンド行うように設計されてい
る。

●チーム編成の目的とファシリテーターの役割

 さて、ワークショップ当日である。受付時に、まずは着席するテーブルが指
定される。当日は 27 社から 31 名が参加し、6 チームに振り分けられた。5 
〜 6 名の参加者とトレンドマイクロのファシリテーター 1 名で、1 チームが
編成される。

 参加者の所属企業の業界は、銀行 8 社、保険 10 社、証券 6 社、その他( 
FinTech 企業含む )3 社と分散している。同じ組織から複数人が参加した場合
には、テーブルが分けられた。チーム決めには、主催者の「新たな視点を持ち
帰ってほしい、同じような悩みを共有して、議論が盛り上がるように」という
意図が背景にある。

 会場の設営としては、テーブルの間隔が広く設けられ、作業中に立ったり歩
いたりしやすくなっている。またスクリーンが 3 枚用意され、どこからでもス
ライドを確認しやすい。各テーブルには、ゲームキットとホワイトボードが 1 
つずつ備えられている。ゲームキットはダウンロード版より大きくてしっかり
とした造りのもので、収納用ボックスも付属しており、一般の市販のボード
ゲームと比べて遜色ない(非売品)。会場やハードへの配慮も重要である。

 ワークショップ全体の進行は、各チーム担当のファシリテーターとは別のメ
インファシリテーターを務める山外一徳氏(コアテク・スレットマーケティン
グ部 スレットマーケティングマネージャー)が担った。挨拶やゲームの進め方
の説明に続いて、チームごとにロールを決定する際の指針が示された。実際の
業務上のロールとは異なるロールを選択する、というものだ。日頃のしがらみ
を離れることが、新しい発見を生むという考えに基づくディレクションだろう。
またチーム別の作業中の進行係や書記係も、ロールに基づいて指名された。

 ワークショップではチーム毎のプロセスや考え方、結論の違いをより浮彫に
させるために、全チームが共通のインシデントに取り組む。予めイベントカー
ド3枚が指定され、さらにネットワーク図やログといった情報も提示された。こ
の点はダウンロードしたゲームのルールとは異なる。

●あえて実際の職務とは別の役割に

 山外氏の説明が終わり、テーブルごとの議論に入ると、最初は初対面の参加
者同士で出方を窺う様子が見受けられた。複数の参加者で 1 枚の資料を眺めた
り、書記係が立ってホワイトボードに板書したりするうちに、ファシリテー
ターの介入もあって、議論が回るようになっていった。所属企業ではシステム
運用を担当している参加者が、ゲームでは事業部門責任者となり「業務を継続
したいから、システムは停止させないでほしい」と発言して、厳しい条件下で
のシステムの継続運用を求められるほうから求めるほうへと、日ごろシステム
運用担当として現業部門からの要求や難題に苦しんできた憂さを晴らす(?)
シーンなども見られた。

 山外氏によると、事前に各チーム担当のファシリテーターが集まり、議論を
盛り上げるための準備を行うそうだ。こうした仕込みもゲームを通じた体験の
質を高めるのに役立つ。また、ファシリテーターには、積極的に参加していな
い人をフォローする 役割がある。

 さて、アクションが決定すると、6 チーム中 3 チームの経営責任者と情報シ
ステム部門責任者が前に出て、障害報告のロールプレイが行われた。たとえば
アクションカードには「公的機関・外部機関に連絡する」などと概要しか書か
れていないが、連絡先として具体的に金融庁、警察、サイバー保険会社などが
挙げられた。同じイベントカードをインプットとして与えられていても、他
チームから思いがけない報告があったようで、参加者からどよめきや笑いが起
きた。サイバー保険会社に言及したのは1チームだけで、ここでどよめいた。
また「 CEO、申し訳ありません 」と情報部門責任者の謝罪から入ったチームの、
リアリティを追求する姿勢には会場が沸いた。

 ロールプレイ後は山外氏による振り返りと総評が行われ、質疑応答で 1 ラウ
ンド目が締めくくられた。参加者が質問をすると、素晴らしい質問のお礼とし
て当日使用している物と同じ非売品のゲームキットがトレンドマイクロから贈
呈される、という楽しい仕掛けがあった。多くの参加者から質問が寄せられ、
ジャンケンで受け取る人が絞られた。

 さて、休憩をはさんで 2 ラウンド目である。1 ラウンド目よりもクリティカ
ルなインシデントが想定されている。基本的には同じ流れでゲームが進められ
るのだが、1 ラウンド目に取ったアクションにより手持ちの資金が足りなくな
ると、2 ラウンド目ではコストがかかる手は打てなくなる。

 2 ラウンドあることで、ゲームに用意されているコインが制約としてうまく
働く。実際に2ラウンド目で、取りたいアクションに必要な資金がない、と声を
上げるチームがあった。逆に、2 ラウンド目があることを念頭に、1 ラウンド
目で思い切った手が打てなかった、とぼやいている参加者もいた。

 また、2 ラウンド目のロールプレイは、トレンドマイクロ社員が扮する金融
庁の担当者に対し、情報システム部門責任者が報告を行う形式で行われた。
ロールプレイ中に金融庁の職員役から問われたり、ロールプレイ後に山外氏か
ら解説がなされて、顧客対応の方法や影響を受ける顧客の範囲、経営に与える
影響など、金融庁で注視しているポイントが具体的に示された。

●参加者の感想

 ワークショップ終了後の参加者の感想としては、「様々な会社の対応を知る
ことができた」「(普段と異なるロールを担って)他部門の対応を意識する
きっかけとなった」「座学のセミナーでは難しいが、自社に戻って他の従業員
と共有できる」というものがあった。さらに、セキュリティ関連のセミナーに
参加するのが初めて、という参加者が複数いた。とっつきやすさ、というのも
ゲームを用いた模擬訓練のメリットの1つであろう。

 今回のワークショップは特別に盛り上がっている印象を筆者は受けた。初対
面の参加者同士がゲームの枠組みを超えて、たとえば金融庁へ報告するタイミ
ングや顧客へ告知するレベルを自社ではどのように定めているかなど、休憩中
や終了後も議論する姿が散見された。山外氏への聞き取りによると、ボード
ゲームを用いたワークショップでは、通常このような光景がみられるとのこと
だ。ただ、金融業界はリスクに対する意識が高いので、他の業界に比べて議論
が深化する傾向にある、とのことであった。

●ボードゲーム製作の目的

 トレンドマイクロ株式会社 上級セキュリティエバンジェリスト 染谷 征良 
氏は、「発生したインシデントの深刻度や重要度の判断と、対応に課題を持っ
ている企業が多いに違いない」という発想があがったのがボードゲーム開発の
きっかけであったと語り、「セキュリティ製品やサービス提供の一方で、セ
キュリティ対策を組織的な観点で強化するための取り組みも必要と考えており、
社員教育で活用できるビデオなどを含む様々な無償ツールの開発・提供、Trend 
Micro CTF のようなセキュリティ技術の競技会の実施といった多岐にわたる取
り組みを通じ、組織全体の底上げにセキュリティ専業ベンダとして貢献してい
きたい(染谷氏)」と抱負を述べた。

 最期に、ゲームは、どんなゲームをどうプレイするかも大事だが、「誰と」
やるかがとても重要だ。セキュリティの課題をともに共有する仕事の同僚や、
協力会社などのステークホルダーと、もし今回紹介したゲームをプレイできれ
ば、課題の共有や認識の深化にきっと役立つことだろう。

[写真] ゲーム用のボードと、インシデントが発生する「イベントカード」、イ
ンシデントに対応する「アクションカード」、資産とブランドを表す「コイ
ン」
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26249.html

[写真] 会場に到着すると座席指定が貼り出されていた
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26248.html

[写真] イベントカードにはさまざまな事故が記載され、アクションカードには
具体的な対応策が記載されている
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26250.html

[写真] イベントカード内容内訳 その 1
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26254.html

[写真] イベントカード内容内訳 その 2
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26255.html

[写真] 参加者は 6 つのロールのいずれかにアサインされる
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26253.html

[写真] 参加者のデスクには、アサインされたロール別に「経営」「広報」「事
業部門」「情シス」「セキュリティ担当」などの「席札」が設置される
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26251.html

[写真] 配付資料のひとつ、サーバやネットワーク、セキュリティ機器の構成な
どが詳細に設定されていた
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26259.html

[写真] 各チーム真偽の末に決定したアクションプラン
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26256.html

[写真] 監督官庁である金融庁への速報内容を検討する参加者
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26257.html

[写真] ワークショップ実施時の一コマ
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26247.html

[写真] ゲームを俯瞰しリードし続けた山外氏
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26258.html

[写真] いい質問をした参加者に配られた非売品のボードゲーム
https://scan.netsecurity.ne.jp/article/img/2019/01/15/41831/26252.html

《鳴海 まや子》

--------------------------------------------------------------〔AD〕--
╋━━ 無料セミナー『セコムが語る最新のサイバー攻撃事例と対策』 ━━╋
「Windows 10 AD 徹底活用方法」「事例でわかる Office 365 あんしん移行」
「セコムがおすすめするエンドポイントセキュリティ」「攻撃実例紹介」
╋ オリンピックまであと1年半。急増が予測されるサイバー攻撃対応には ╋
2019年1月24日(木)14時 https://www.secomtrust.net/event/2019/0124.html 
----------------------------------------------------------------------
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【05】カテゴリ別ウイークリー記事ランキング
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
――――――――――――――――[PREMIUM登録 https://goo.gl/LCqDZj ]―
●ScanPREMIUM 限定記事 ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>2019 年新春の決意:お年玉で絶対に買ってはいけない「最新技術製品」(The Register)
https://scan.netsecurity.ne.jp/article/2019/01/09/41817.html

<2位>ここが変だよ日本のセキュリティ 第36回 「2018セキュリティ流行語大賞」
https://scan.netsecurity.ne.jp/article/2018/12/26/41791.html

<3位>Adobe Flash Player において Use-After-Free の脆弱性により遠隔から任意のコードが実行されてしまう脆弱性(Scan Tech Report)
https://scan.netsecurity.ne.jp/article/2019/01/10/41823.html


>>その他の「ScanPREMIUM」の過去記事一覧
http://scan.netsecurity.ne.jp/special/3294/recent/latest/
※PREMIUM登録
https://goo.gl/LCqDZj

―――――――――――――――――――――――――――――――――――
●脅威の記事ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>「Windows 7」のサポート終了まで一年、注意を呼びかけ(IPA)
https://scan.netsecurity.ne.jp/article/2019/01/11/41824.html

<2位>スマートスピーカーや5G回線の悪用など予測--2019年のセキュリティ(ジュニパーネットワークス)
https://scan.netsecurity.ne.jp/article/2019/01/15/41829.html

<3位>Amazonプライム会員の更新のためにカード情報を登録させるニセメール(フィッシング対策協議会)
https://scan.netsecurity.ne.jp/article/2019/01/16/41836.html


>>その他の「脅威」の過去記事一覧
http://scan.netsecurity.ne.jp/category/threat/threat/latest/

―――――――――――――――――――――――――――――――――――
●脆弱性の記事ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>OracleがJavaをアップデート、Java SE 8の商用ユーザは特に注意(JPCERT/CC、IPA)
https://scan.netsecurity.ne.jp/article/2019/01/17/41844.html

<2位>WordPress用プラグイン「spam-byebye」にスクリプト実行の脆弱性(JVN)
https://scan.netsecurity.ne.jp/article/2019/01/11/41825.html

<3位>オムロンの「CX-One」に任意コード実行の脆弱性(JVN)
https://scan.netsecurity.ne.jp/article/2019/01/15/41828.html


>>その他の「脆弱性」の過去記事一覧
http://scan.netsecurity.ne.jp/category/threat/vulnerability/latest/

―――――――――――――――――――――――――――――――――――
●インシデント・事故・逮捕の記事ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>国税庁での契約・法令違反の再委託を受けて調査を実施、埼玉県内の6市でも無許諾が判明(AGS)
https://scan.netsecurity.ne.jp/article/2019/01/11/41827.html

<2位>国際学会で離席した隙をつかれノートパソコンが盗難被害に(長岡技術科学大学)
https://scan.netsecurity.ne.jp/article/2019/01/16/41838.html

<3位>フィッシングサイトで詐取されたアカウントから迷惑メールを多数配信、個人情報漏えいの可能性も(東京外国語大学)
https://scan.netsecurity.ne.jp/article/2019/01/15/41830.html


>>その他の「インシデント・事故」の過去記事一覧
http://scan.netsecurity.ne.jp/category/incident/latest/

―――――――――――――――――――――――――――――――――――
●調査・レポート・白書の記事ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>「Webシステム/Webアプリケーションセキュリティ要件書 Ver.3.0」を公開(脆弱性診断士スキルマッププロジェクト)
https://scan.netsecurity.ne.jp/article/2019/01/16/41837.html

<2位>IoTセキュリティへの取り組み、日本企業の低さが明らかに(ジェムアルト)
https://scan.netsecurity.ne.jp/article/2019/01/16/41835.html

<3位>地下市場をやめ独自のショップを開設する犯罪者が増加--四半期レポート(マカフィー)
https://scan.netsecurity.ne.jp/article/2019/01/17/41847.html


>>その他の「調査・レポート・白書」の過去記事一覧
http://scan.netsecurity.ne.jp/category/report/latest/

―――――――――――――――――――――――――――――――――――
●研修・セミナー・カンファレンスの記事ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>サイバーセキュリティでも「セコム」、来週24日 セミナー開催
https://scan.netsecurity.ne.jp/article/2019/01/16/41842.html

<2位>日本初上陸の電子メール「分離」技術をお披露目、Menlo 社チーフアーキテクト来日(マクニカネットワークス)
https://scan.netsecurity.ne.jp/article/2019/01/16/41843.html

<3位>プロアクティブな対策に必須の「サイバーインテリジェンス」入門セミナー(マキナレコード)
https://scan.netsecurity.ne.jp/article/2019/01/16/41840.html


>>その他の「研修・セミナー・カンファレンス」の過去記事一覧
http://scan.netsecurity.ne.jp/category/seminar/latest/

―――――――――――――――――――――――――――――――――――
●業界動向の記事 ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>「Windows 7」延長サポート終了後もエンドポイント製品のサポートを継続(トレンドマイクロ)
https://scan.netsecurity.ne.jp/article/2018/12/26/41784.html

<2位>車載データサービス向けセキュリティ分野で協業(ACCESS)
https://scan.netsecurity.ne.jp/article/2019/01/09/41814.html

<3位>EUと同等の十分性認定、2019年1月の見通し(個人情報保護委員会)
https://scan.netsecurity.ne.jp/article/2018/12/28/41798.html


>>その他の「業界動向」の過去記事一覧
http://scan.netsecurity.ne.jp/category/business/trend/latest/

―――――――――――――――――――――――――――――――――――
●製品サービスの記事 ウィークリーランキング
―――――――――――――――――――――――――――――――――――
<1位>Windows 7などのサポート終了に対し、現状と支援施策を発表(日本マイクロソフト)
https://scan.netsecurity.ne.jp/article/2019/01/17/41845.html

<2位>MSSや社内SOC向けのマルチテナント型インシデント管理ツール(GRCS)
https://scan.netsecurity.ne.jp/article/2019/01/17/41846.html

<3位>「FFRI yarai」の管理コンソールをクラウド化(FFRI)
https://scan.netsecurity.ne.jp/article/2019/01/16/41832.html


>>その他の「製品・サービス」の過去記事一覧
http://scan.netsecurity.ne.jp/category/business/product/latest/

--------------------------------------------------------------〔AD〕--
╋━━ 無料セミナー『セコムが語る最新のサイバー攻撃事例と対策』 ━━╋
「Windows 10 AD 徹底活用方法」「事例でわかる Office 365 あんしん移行」
「セコムがおすすめするエンドポイントセキュリティ」「攻撃実例紹介」
╋ オリンピックまであと1年半。急増が予測されるサイバー攻撃対応には ╋
2019年1月24日(木)14時 https://www.secomtrust.net/event/2019/0124.html 
----------------------------------------------------------------------

━━━━━━━ Scanは下記の企業様にご協賛頂いております ━━━━━━━
トレンドマイクロ株式会社                          www.trendmicro.co.jp
セコムトラストシステムズ株式会社                    www.secomtrust.net
株式会社ラック                                           www.lac.co.jp
デジサート・ジャパン合同会社           www.jp.websecurity.symantec.com
株式会社SHIFT SECURITY                            www.shiftsecurity.jp

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
編集部からのお知らせ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●先週ハーフマラソンを走りましたが、タイムが大幅ダウン。練習不足だとダ
メですね。(u)

●Facebookの某猫コミュニティで、りくが月間グランプリを受賞しました!
(y)


○セキュリティ情報サービスにおける情報公開原則
http://goo.gl/6Qc2fy
○ Scan PREMIUM MEMBERS 登録方法
http://scan.netsecurity.ne.jp/article/2015/11/04/37624.html
○ Scan BASIC MEMBERS 登録方法
http://scan.netsecurity.ne.jp/article/2015/11/04/37623.html
○お問合せフォーム
https://www.iid.co.jp/contact/media_contact.html?recipient=scan
○プレスリリース送付先
release@netsecurity.ne.jp
○協賛と広告お問い合わせ
https://www.iid.co.jp/contact/media_contact.html?recipient=scan2

最新のコメント

  • コメントはありません。