2014年2月18日

体験型で強化するインシデント対応力

　NECネクサソリューションズの中西です。
　主な業務は、CSIRTとして社内およびお客様のインシデント対応支援やセキュリティ診断、WAFの開発・サポートなどを行っています。
 
　ここ数年はインシデントレスポンスの経験を演習形式のトレーニングにして、社内外のエンジニアに提供する活動をしています。 
　今回のコラムでは組織のインシデント対応力を高めるための「体験型トレーニング」についてご紹介します。
 

■インシデント対応力向上トレーニングについて

　攻撃手法の高度化に伴い、インシデントレスポンスも日々複雑化しています。 
　外部の専門業者に依頼しても、役割分担が明確になっていなければタイムリーな対応はできません。
 
　インシデントをハンドリングする責任者が役割分担を明確にし、対応方針の最終決定をすることで、解析担当者のスキルが活かされ早期解決に結び付きます。 
　加えて知見の蓄積は組織において重要なメリットとなります。
　こうした背景を踏まえ、組織内にインシデントレスポンスを専門に行うチーム（CSIRT）を構築する組織が増えてきました。
 
　CSIRTを対象としたトレーニングは、以下のようなものが行われています。
 

• 　初動対応、クローズまでのプロセス、顧客対応やプレスリリース検討等をグループディスカッションしながら進める机上演習型
• 　おもにクイズ形式で技術的解析の問題を解いていくCTF型や特定の技術を集中して学習するハンズオン型
• 　インシデント発生から、検知、初動、解析、対策までを、仮想の模擬環境上で体験するサイバー演習型

 
　形式は様々ですが、体験を通して学ぶことで実際インシデントに遭遇した時に、慌てず適切な対応が出来るようになることを狙いとしています。
 
　トレーニング設計時のポイントは、リアルなシナリオの中に受講者をいい意味で裏切る仕掛けを用意することです。 
　たとえば、最初は些細なインシデントに見えていたものが、対応の過程で重大なインシデントであることが分かり「なるほどそういうことだったのか」という驚きと判明した時の満足感を得られるような演出が考えられます。 
　登場人物のキャラクタ設定を作り込んでシナリオへの感情移入を促し、チームで対応して困難を乗り越えることで一体感を得られるようにすることもトレーニングを構成する大事な要素です。 
　トレーニングというより競技形式になりますが、CTF型のSECCON、サイバー演習型のHardeningなど無償で挑戦できるものが国内にも増えています。 
　経験に勝る学習はありません。いずれもセキュリティに携わるエンジニアの裾野を広げていこうという活動なので、面白そうだけど二の足を踏んでいる。という方こそ一度チャレンジしてみてはいかがでしょうか。
 
※記載内容は執筆者の知見を披露されているものであり、著作権は本人に帰属します。