技術情報

実践的サイバー防御演習「CYDER」を受講して

昨年(2020年)12月に、実践的サイバー防御演習「CYDER」を受講しました。

CYDER | ナショナルサイバートレーニングセンター | NICT-情報通信研究機構

演習の概要 受講者は、組織の情報システム担当職員として、チーム単位で演習に参加します。 組織のネットワーク環境を模擬した環境(※)の下で、実際の機器やソフトウェアの操作を伴って、サイバー攻撃によるインシデントの検知から対応、報告といったインシデントハンドリングを一連の流れで体験することができます。※ …

12月8日の記事「サイバーセキュリティを考える一日」では、Aコース(山梨・甲府)を受講した記録を書きました。その後、12月22日には、B-1コース(信越・塩尻)を受講しました。今回は、その時の受講体験を書きます。

CYDER とは

国立研究開発法人 情報通信研究機構 (NICT) のナショナルサイバートレーニングセンターが、政府のサイバーセキュリティ戦略等に基づいて開発・開発している、サイバー防御演習のことです。CYDER とは、CYber Defense Exercise with Recurrence の略です。

サイバー攻撃を受けた際の一連の対応(インシデント対応)を学べる演習として、2021年2月時点で既に5年以上、全国各地で開催が続けられています。最新のサイバー攻撃事例を踏まえ、演習シナリオは毎年、最新のもので実施されています。

当初は、受講対象者が「国の機関」「独立行政法人」「指定法人」「地方公共団体」に限られていましたが、受講希望者が多くなったことから2018年度からは、民間企業・学校法人等まで受講対象者が広がりました。受講者数は、直近の2019年度で全コース合計で、3,000人以上とのことです。

受講コースは A・Bの2つ

受講コースは A・Bの2つあり、それぞれ「受講対象者」と「身につくスキル」が設定されています。

私は 11月の Hardening 競技会で、本当に自身の無力さを痛感したものですから、謙虚にもう一度、初めからしっかり学び直そうと考えました。そのため、Aコースから順に、受講することにしました。

公式Webサイト上での難易度の説明も、併せて書き添えておきます。

Aコース

  • 受講対象者
    • 情報システムに携わりはじめたばかりの方
    • インシデントが発生した際の対応者
    • 安全に情報システムを運営したい方
    • インシデントへの備えを学びたい方 など
  • 身につくスキル
    • 事前の備えとして何をすれば良いかを理解できる
    • ベンダーからの報告書を読み解き適切に情報共有できる
    • インシデント発生時の対応の流れを理解できる
  • 難易度
    • 初級
    • 事前知識があまりなくても大丈夫
    • 事前オンライン学習や、当日のサポートを受けながら、ステップ・バイ・ステップで学べる。
  • 開催地
    全国47都道府県

Bコース

  • 受講対象者
    • 情報システム管理者・運用者
    • 情報システムの調達・企画・開発に携わる方
    • インシデントが発生した際の対応者 及び 対応の指揮・管理に携わる方
  • 身につくスキル
    • パソコン・サーバー・ネットワーク機器等のログを監査できる
    • CSIRTメンバー・上司・ベンダー等と適切に情報共有し、主体的にインシデント対応ができる
    • 自組織のセキュリティーポリシーを見直すことができる
  • 難易度
    • 中級
    • コンピューター及びネットワーク並びにサイバーセキュリティに関する基礎知識を既にお持ちの方向け
  • 開催地
    • B-1 地方公共団体向け
      全国11都市
    • B-2 国の機関等・重要社会基盤事業者・民間企業等
      東京・名古屋・大阪・福岡

参加して分かったこと

Aコース・Bコースをともに受講してみて分かったことを、いくつか書き出します。

Aコース・Bコースの共通点

  • 3~4人1組で、チームとなって取り組む
    インシデント対応をするチーム、そしてその一員としての役割が求められます。私は、Aコースでは 3人、Bコースでは 4人で 1チームを経験しました。集まった皆さんの経歴や役職・立場もみな異なりましたが、それが逆に良い刺激になりました。詳しくは、後述の「CYDERから得たもの」をお読みください。
  • 或る組織で発生したインシデントの検知・連絡・受付から事後対応までを行う
    演習を通じて、事態の全体像が徐々に見えてきます。こうした対応全般を、インシデントハンドリングと言います。トリアージ(インシデント対応の優先順位付け)が、意外と難しいと感じました。
  • フェーズ毎に、課題が設定されている
    それぞれのインシデント対応段階(フェーズ)ごとに、大きい課題が提示されます。チームでその課題にあたります。
  • 講師・チューターにアドバイスを求めることができる
    会場には、一名の講師と数名のチューターがいます。課題の答えそのものは訊けませんが、考えるためのヒントや方向性を確かめることはできます。分からない状態で動きが止まってしまう前に、訊いた方がよいです。
  • 演習後に確認テストが実施される
    確認テストを甘く見てはいけません。本当に。
  • 受講証明書・評価結果が発行される
    その年に受講した内容を示す証明書と、確認テスト結果・チーム評価結果(Bコース)が書かれた評価結果が発行されます。
  • 参加年度が書かれたステッカーがもらえる
    以下のようなステッカーがもらえます。2枚あるのは、2回受講したからです。
図 CYDER 2020のステッカー
図 CYDER 2020のステッカー

Aコース・Bコースの相違点

  • Aコース
    • 一つの課題ごとに、講師から解答例の提示 及び 丁寧な解説
      演習資料・演習解説資料が、とても丁寧に書かれています。講師の説明も分かりやすく、大変勉強になります。
    • 課題の進捗は、全チーム共通
      課題ごとに解説が入り、次のフェーズに皆で進むので、進捗は他チーム含め皆一緒です。
  • Bコース
    • 擬似的に構築された環境にアクセスして実習を行う
      NICT の北陸 StarBED 技術センター上に、演習シナリオに沿った擬似的なシステム環境が構築されています。そこにリモートアクセスして、さながら実機を触れて実習を行います
    • 各人の役割は、課題毎で大きく異なる
      役割は、課題によって異なります。役割が異なるため、提示される情報も異なります。課題に入る前には、チームで情報共有が必要です。その辺りの「断片的な情報を持ち寄る」感じも、演習なのだと思います。
    • 課題の進捗は、チームの取り組み次第(進捗差が出る)
      ここが非常に大きなポイントです。目安の時間は示されるものの、各課題は、チーム毎にクリアする時間・速度が異なります。講師からの解説は、都度は入りません(最後にまとめて行われます)。

CYDERから得たもの

平時からの備えと、訓練の重要性

講師の方が仰っていた「消防の避難訓練と同様に、サイバー攻撃に対する訓練だとお考え下さい」という言葉が印象的でした。

訓練していないことは本番ではできないという点は、幼い頃からやっている避難訓練で言われてきたことでしたが、サイバー攻撃への対処も同様だなあと感じました。

また「平時からの備え」という話は、不審な/怪しい通信記録を判断するためには、平時(通常時)の通信がどうなっているか知っている必要があるとのことでした。

インシデント発生~事後までの対応体験

何がいつどう起こったのか、それにどう対処したのかを、通して経験できたことは、とても有難かったです。

何より、これをチームで対応できたため、独善的な判断に偏らず、バランスのある判断に結びついた気がします。実際に、こうした対応をするのは一人だけではないはずです。自組織のメンバーとの連携が欠かせませんし、ベンダー各社・関係各所とのやり取りも必要です。そうした「チーム力」が大きな鍵だなあと、実感しました。

テキスト類、オンライン学習サイトでの復習

当日配布された「演習資料」「演習解説資料」が手元に残るので、「こういう時にはどう対処するのだろうか」といった振り返りが出来るのは、とても有難いです。(しっかり横展開できていないのは反省していますが)自組織内で演習内容を共有するためには、よい拠り所になると感じています。

また、演習前の事前オンライン学習サイトが、受講後も年度の終わりまでアクセスし、繰り返し学習できるのも、メリットが大きいです。

自ら学ぼう・力を付けようと行動する/努力する人達が集っていることへの感動

CYDERを通じて、同じチームで一日演習をやった皆さんの多くは、自らその必要性をお感じになって自主的に参加された皆さんでした。

会場にいた全員がそうだとは言い切れないかもしれませんが、年齢や立場・役職を越えて、自ら学ぼう・力を付けようと行動・努力を重ねている人がいらっしゃるのだと実感しました。そのことに、素直に感動したのです。Hardening 競技会に参加した皆さんに対しても、同じことを感じていました。

こうして頑張っている人がいらっしゃるのだから、自分自身も今、やれること・頑張れることを精一杯やろうと、セキュリティ技術に限らず、普段の業務内容にも重ね合わせて感じています。

皆さんもぜひご参加ください

この先もテレワークでの勤務形態が続くようであれば、一層サイバー攻撃の危険は大きくなるかもしれません。

2021年2月まで、CYDER (2020年度) の開催は続きます。2021年度以降も開催は続くことと思いますので、皆さんもぜひ CYDER へのご参加を、ご検討ください。