前回、この図を使ってセキュリティ対応における「出口対策」の重要性を説明した。

図1　セキュリティ対応のプロセス

今回は、この「出口対策」の考え方に基づき、制御システムを管理・運用する企業の社員に対して、トレーニングサービスを提供している「CyberGym」を紹介したい。私自身がその独自性と重要性に着目し、日本市場の開拓に取り組んでいる企業だ。

出口対策は避難訓練と同じ

CyberGymはイスラエルの電力公社IECの子会社で2013年に設立された。IEC自体が日々膨大なサイバー攻撃を受けており、それに長年対処してきた経験とノウハウを元にトレーニングプログラムを開発し、提供している。

繰り返しになるが、いくら最新のセキュリティ対策機器を導入しても、サイバー攻撃を100%防ぐということはあり得ない。なぜなら、かなりの割合が従業員（31%）や退職者（27%）の内部犯行であるからだ。内部犯行を防ぐためには、ツールの導入だけではなく厳しい権限管理や運用ルールが必要であり、あまり厳しくしすぎると現実の業務遂行に影響が出るため、どこかでトレードオフの線引きをせざるを得ないのが実態である。

攻撃を防ぎきれないのであれば、インシデント発生時の被害を最小化に注力すべし、というのがCyberGymの考え方だ。すなわち、我々日本人が小学校以来体験している「避難訓練」の考え方と同じである、といえばより分かりやすいかもしれない。

トレーニングアリーナで実機によるハンズオンを実施

とはいっても、自社がサイバー攻撃を受けると、システムのどこがどのような状態になり、組織や業務プロセスのどこにどのような影響が発生するのか、これは攻撃を受けてみないと本当のところは分からない。特に制御システムの場合は、システムがコントロールする対象が、工場、発電所、鉄道、など様々であり、それぞれ影響も全く異なる。

だからといって、実際に商用で稼働しているプラント、システムを攻撃して、何が起こるかを体験するわけにもいかない。CyberGymは独自のトレーニングアリーナを持ち、そこに顧客の持つ制御システムをDuplicate（複製）した“実機”を用意する。無論、100%同じものを用意することは不可能だが、そのアーキテクチャは再現する。また、シミュレータではなく“実機”であることがポイントである。

顧客がその“複製された制御システム”を普段の業務と同様に動かし、CyberGymのハッカーがそれを攻撃することで、顧客は実際のサイバー攻撃を日常業務に近い環境で体験する。かつ、そこからどの様に対処すれば良いかも実機のハンズオンで体験する。

図2から4は、実際にCyberGymのトレーニングアリーナに設置されている「模擬発電システム」である。タービンが小型モータで置き換えられ、ボイラーのサイズもミニである点を除けば、制御システムやその構成は実際の発電所と同じである。

図2　発電機（ボイラーとタービン）の模型

図3　発電機を制御するシステムの制御盤

図4　システム全体を監視・コントロールするモニタールーム

組織としてセキュリティ危機に対応するトレーニング

トレーニングは「ブルーチーム」「レッドチーム」「ホワイトチーム」と呼ばれる3チームにより実施される。「ブルーチーム」はサイバー攻撃を受ける顧客のチームで、10-20名。「レッドチーム」はブルーチームを攻撃するCyberGymのハッカーだ。そしてサイバーセキュリティのエキスパートからなる「ホワイトチーム」がトレーニング全体を統括し、またブルーチームにとってはメンターともなる。

このトレーニングは個人の技術レベルを高めるだけの訓練ではない。インシデントが発生した時に、組織としてどの様に対処するのか、を学ぶ「組織としての力をつける訓練」である。従って、参加者はエンジニアだけではなく、様々な局面で意思決定を求められるマネージャ、法的側面から対応策および判断を支援する法務部門、対外的に正しくメッセージを発信するための広報部門、など様々な部門のメンバーが参加することが望ましい。

例えば、発電所の制御システムの中のパソコンが最近話題のランサムウエアに感染し、制御不能となったケースを想定する。ハッカーは1時間以内に5万円を支払えばロック状態を解く鍵を渡すと言ってきたとする。

エンジニアは無論、原因の解析や自社による対処の可能性を探る。更に、5万円を支払わない場合にどの程度の損害が（自社および顧客に）発生するか、も評価せねばならない。しかし、5万円を支払うかどうか、を判断するのはエンジニアではなく経営者である。大した金額ではないので、支払うという判断をする場合、システムは救済できたとしても「脅しに屈する企業」という評判が出るかもしれない。このリスクは、法務や広報が担当すべき項目である。

これは一例だが、サイバー攻撃への対処というのは、単に技術の問題ではなく、組織として関連する部署がそれぞれ協力しながらどのように動くか、という問題なのである。

日本企業の反応

CyberGymは2013年に創業し、既に中東とヨーロッパを中心に3年以上このトレーニングサービスを提供してきた。組織としての対応力をつけるための訓練、という視点は従来にないユニークなものであり、シミュレータによる技術者向けのトレーニングサービスを提供する企業はあっても、実環境を用いたトレーニングをチームへ提供する企業はなかった。

私はCyberGymと顧問契約を結んでおり、2014年末から日本での市場開拓を開始した。色々な企業にCyberGymを紹介して回ったが、当時、日本企業の反応は判で押したようにどこも同じであった。典型的な反応は以下のようなものだ。

1. 制御系はインターネットにはつながっていないのでサイバーセキュリティ上の問題はない。
2. トレーニングをするにしても、アリーナの設備が自社と全く同じでなくては意味がない。
3. 情報システム部門としては、今でも情報システムを守るのに手一杯であり、制御システムは自分たちの守備範囲ではない。
4. 制御システムの運用・管理は全てベンダーに任せている。

これらの反応は、正に日本企業のサイバーセキュリティに対する課題を浮き彫りにしている。それは、サイバーセキュリティ対策を「技術の問題」と狭くとらえている、ということである。

特に2番めは、自社設備の脆弱性を理解しその対処をするためには、他ベンダーの類似機器でトレーニングしても意味がない、という考え方から来る反応である。これは大きな誤りだ。

例えば自動車は、軽自動車だろうが、ポルシェだろうが、アクセル、ブレーキ、ハンドルを操作して運転することは同じである。ヒューマンインタフェースとなるメーターのデザインやハンドルの大きさ、各種ボタンの位置は車により異なるかもしれないが、教習所の車で免許を取得した人間であれば運転できる。運転中に不具合に遭遇したとき、不具合を修理するためのディーラーに、周囲に迷惑をかけず、安全かつ迅速に車を運ぶことこそ重要なのだ。

発電所の制御系も、ドイツの火力発電所はシーメンスの機器で構成され、東京電力の火力発電所は東芝製かもしれない。それぞれ独自のプロトコルが採用されているかもしれない。しかし、基本となるプロセスとその制御の考え方は、自動車の例と全く同じで、PLC（Programmable Logic Controller:制御装置）にサイバー攻撃を受けた場合に、どのようなシステム調査、対応をすべきか、はシーメンスでも東芝でも基本は変わらない。

また、4番めの「ベンダー任せ」という点も、先に提示したランサムウェアのような場合、「ベンダーに任せられるのは技術的対応であって、5万円支払うかどうかの判断はあくまで自社で行わねばならない」という視点が企業自身に欠落しているのである。

徐々に変わってきた意識

しかし、2015年5月に日本年金機構が外部から標的型攻撃を受け、125万人分の個人情報が漏洩した事件あたりから、徐々に日本企業の意識も変わってきた。内閣サイバーセキュリティセンター（NISC）の強力なリーダシップのもと、継続的に積極的な啓蒙活動が行われた結果、制御システムが用いられる発電所や鉄道など重要インフラのセキュリティ対策の重要性が理解されはじめた。

多くの日本企業、政府関係者が繰り返しイスラエルのCyberGymに見学に訪れ、2015年後半にはCyberGymのトレーニングプログラムを日本で提供したいという日本企業が現れた。2016年中に当該企業社員が繰り返しイスラエルでのトレーニングを体験してプログラムの価値を理解し、今年5月にはライセンス契約を締結した。当該企業としてのトレーニングアリーナの設計、トレーニングプログラムの設計も始まった。2018年には、当該企業がパートナーとなって、CyberGymのノウハウに基づいたトレーニングを日本で提供できるようになる見通しである。

イスラエル企業ならではの実践的なトレーニングシナリオを提供

実環境によるハンズオントレーニング、が第一の特徴であるが、最も価値が大きいのはそのトレーニングシナリオだ。

先に述べたように、シナリオの中で、CyberGymのハッカーであるレッドチームがブルーチームを攻撃する。その攻撃シナリオは、IECが実際に攻撃を受け、CyberGymが対処してきた経験と、セキュリティ企業として調査・取得してきたインテリジェンスに基いている。

この実経験とインテリジェンスについては、日本企業には真似できない優位性がイスラエル企業にはある。初回でも述べた通り、攻撃と防御は表裏一体であるからだ。このシナリオは常に最新化される。

また、ホワイトチームというサイバーセキュリティのエキスパートが参加することにも大きな意味がある。トレーニング中のブルーチームの状況を見て、的確な対処ができていれば、レッドチームに対して攻撃のレベルを上げるように指示する。もし、ブルーチームがお手上げ状態だとすれば、攻撃のレベルを下げ、意味のある体験ができるように臨機応変な対応をする。これは、決まったシナリオをこなすだけのシミュレータにはできない付加価値である。

更に、トレーニング終了時には、ホワイトチームが全体的な分析と評価をするだけでなく、レッドチームが自らの攻撃を解説する。ハッカーがそれぞれの状況をどのように考えて、どこを突いてくるのか、「ハッカーの考え方」に触れることができるのだ。これは中々得難い体験であり、本物のハッカーがいるイスラエルならではのサービスである。

パートナー企業の許可と準備ができたらば、改めて日本でのサービスの詳細を紹介してみたい。必ずや多くの企業に興味を持ってもらえると考えている。

【参考】
・CyberGym
・サイバー攻撃による停電がウクライナで発生、電力網に迫る危機
・PWCグローバル情報セキュリティ調査2014