サイバーセキュリティ最前線 “もしも”に備える頭の体操 BCP体験型机上演習

サイバー攻撃の種類・範囲は多様です。特にウクライナやガザに関する地政学的背景下での攻撃の意味は「サイバー領域活動」全般を指します。それらは目的・意図や各種背景によって影響の出方も多様になると同時に、対応方向も異なってきます。サイバー攻撃はそれぞれの影響の出方につながる引金事象の1つであるという捉え方です。対策本部活動を考える際には、各影響の内容と度合いに軸足を置き、問題の論点を明確にしたうえでサイバー攻撃を捉えないと適切な対処計画（BCP）にはなりません。

このため本演習は、複数の影響場面のうちもっとも事業継続上の問題が深刻な「長期にわたる大規模システム障害により生産や安全への影響が大きく、対策本部設置となるケース」を想定しており、具体的には「緊急生産管理体制、医療安全管理体制」に関わる対策本部活動を演習シナリオ場面としています。（図1）

影響内容やその度合いによって対応体制や関係部署も異なります。関係部署と対応イメージを合わせつつ、事前に検討・調整しておくことが重要です。

本机上演習では、影響内容や組織・業務への影響度合いによって「影響場面モデル」を設定し、演習参加者の対応イメージを合わせます。本机上演習では「③影響度モデル3：業務影響度大」を対象としたシナリオを用います。

① 影響度モデル1：業務影響度“小”

• 自社のシステム部門のみで対応

② 影響度モデル2：業務影響度“中”

• 個人情報漏えいに際し、個人情報保護法に即して対応
• 自社の情報管理委員会などが対応の中心

③ 影響度モデル3：業務影響度“大”

• リスク管理委員会が規定する対策本部設置で災害対応を発動するケース
• 営業秘密漏えい（窃取）のケース

サイバー攻撃対策を講じるのは当然ですが、完全に守りきるのは困難であり、「守れなかったらどうする？　事業に大きな影響が出た時はどうする？」といったことを考えておくことは企業や組織にとって重要です。特に昨今の脅迫型ウイルス（ランサムウェア）は、大規模システム障害を引き起こし、復旧には長い期間を要します。よって、復旧に至るまでに、いかに（最低限でも）事業を応急再開させるかが喫緊の判断事項となります。

実際の事例でも「生産を止めるな！　納入先のラインを止めるな！　応急復旧を急げ！」や「地域医療を止めるな！　応急復旧を急げ！」などが現場の合言葉になっています。（図2）

通常、サイバー攻撃の引き金以外の事象に関するBCPマニアル類は整備されています。特に緊急生産管理体制では、ISO9001（品質マネジメントシステム：QMS）認証や医療機関では厚生労働省通達にもとづく医療安全管理体制などがそれにあたります。サイバー攻撃を引金事象とする場合もこれらの体制が準用され、対策本部活動が行なわれますが、攻撃の特性を考慮し、応急復旧手順の検討や対策本部の判断が必要になります。

本机上演習では、その特性と対策本部の判断との関係について、演習ロールプレイを通じて体験しつつ考えてもらいます。（図3）

本机上演習では、リスク管理委員会の対策本部体制と緊急オペレーションを模擬体験します。その組織対応のワークフローを図示します。（図4）

このワークフローは実際の各事例でも共通の対応モデルとなり、脅迫型ウイルスによる大規模システム障害発生を起点に、次のステージで緊急オペレーションが行なわれます。

図4　BCP体験型机上演習シナリオで対象とする組織対処ワークフロー全体図

ステージ❶ ：初動段階、状況確認
ステージ❷ ：対策本部開設、緊急対処段階
ステージ❸ ：制限医療継続段階、応急復旧段階
ステージ❹ ：原因調査、再発防止策検討

ここで重要なのは「制限下での事業継続手段（紙伝票など）の確保」と「応急復旧策の検討（臨時の情報閲覧システム構築など）」を優先的に仮整備することです。制限下でミニマムの事業継続体制をとったあと、基幹システムの復旧に取りかかります。サイバー攻撃の引金事象の場合、これら検討各所にサイバー攻撃の特性に関する知見が必要になってきます。このあたりは、障害や停電による大規模システム障害とは異なる部分です。

また、応急復旧策の検討や基幹システムの復旧計画の策定に際し、サイバー攻撃に関する専門知見（CSIRTなど）をいかに活用するか、対策本部の判断に資する役割は何か、といったことを、ロールプレイや課題検討を通じて考えます。

例えば、医療機関でサイバー攻撃による大規模システム障害が発生した場合、次のような対応をとります。医療分野ではこれをSF-BCP（System Failure-Business Continuity Planning）「医療事業継続計画、病院情報事業継続復旧計画」と言います。

ここでは同一方針にもとづく組織全体としての整合を図ること、つまり各人が“考える歯車”として動くことが重要です。

フロー① ：紙伝票による運用体制に入る
フロー② ：応急医療情報閲覧システムを構築し、医療継続エリアを拡大する
フロー③ ：医療継続を確保できたら、基幹システムの復旧に入る

本机上演習では、架空の被害組織を設定し、その流れに沿った実例実績を組み込んだシナリオにより、フロー①～③に対して状況付与を行ないます。これにもとづき演習対策本部は各種判断、計画策定および指示を調整します。

現在、提供可能な開発済の机上演習モデルは次の通りです。各モデルとも、演習対策本部模擬演習と参加者による課題討議から構成され、要請により適宜、新規モデルの開発が行なわれています。

① 講演モデル

• 所要1〜2時間
• 演習や背景の解説、レクチャーのみ
• 通常のセミナー講演

② 講習会モデル

• 所要1.5〜2時間
• シナリオ解説は行なわず、BCP体験型机上演習の解説と模擬体験の課題討議が中心
• 希望組織の机上演習実施につなげる講習会

③ シナリオ・フルバージョンモデル

• 所要4〜5時間以上
• 対策本部を模擬した詳細シナリオを用い、プレイヤは対策本部要員としてロールプレイと課題討議を実施

④ その他、カスタマイズモデル（特定の対象システムなどを想定する場合）

• 分野が異なってもリスク管理の考え方は工場または医療シナリオと同じ
• 希望組織に特化した対象システムや業務などの要望にもとづきシナリオを開発

現在、開発済の演習シナリオは次の通りです。他分野を対象に行なう場合もこれらのシナリオを準用しますが、リスク管理の考え方は各分野共通であるため、ヒントと気づきを得ることができます。いずれのシナリオも実事案の状況や組織構造などを調査し、正確に反映したシナリオと演習課題により、参加者は臨場感と緊張感を持って各種課題を検討し、実践的な問題点をあぶり出すことが目的となっています。

① 工場シナリオ：本社工場に脅迫型ウイルスが侵入し、生産管理装置が使用不能になり、生産ラインが自動停止する

• 製造業の緊急生産管理活動に関わる対策本部関連の諸課題を討議し、模擬体験する

② 医療シナリオ：医療情報システムに脅迫型ウイルスが侵入し、電子カルテなど医療情報システムが使用不能になる

• 参加者が対策本部要員となり、複雑で困難な判断を臨場感と緊張感を持って模擬体験する

「演習は考える訓練」です。考えることを習得するために演習を行ないます。どんなことが起こり得るのかを、実際に即した演習の場で頭の体操をしておくことが重要です。
「演習はトレーニング」ではありません。演習によってあぶり出された課題の解決策を考え、実務計画にフィードバックさせて初めてゴールです。

こうしたコンセプトにもとづき、演習結果から得られた諸課題や気づきを整理し、実務計画の参考にします。このため、演習後、アンケートや演習実施メモなどを取得し、整理・分析後、参加者にフィードバックします。

サイバー攻撃を引金事象とするBCPマニュアルの改定にまで至らなくても、「いざという時、何をやればいいか」のイメージを掴んだ中堅幹部社員がリスク管理委員会に1人でもいれば、組織がパニックに陥ることを回避できます。

「演習は新しい知識を得る場」でもあります。本机上演習シナリオは、経済安保推進法、改定安保戦略「サイバー安保」、不正競争防止法「営業秘密」などの知識が得られるよう構成され、解説が施されています。また、これらの知識には時節折々の内容を盛り込むようにしています。“もしも”に備える頭の体操は大事です。机上演習は、その手段および場の1つです。