CYDER演習のシナリオを考えるとき、例えばこんな導入部を考えていきます。
OSのアップデートは自動で実施、ウイルス対策ソフトウエアもコーポレートエディションというものを全社的に導入済み。何かあればすぐに対応できる体制も整備した。
それなのに感染が発生してしまった。気づけたのは他ならぬウイルス対策ソフトウエアが異常を検知したからだった。
しかし検知は遅きに失していて、遡ってみると数ヶ月前にすでに感染していたらしい。その時点では全く検知できていなかった。
膨大な量の通信記録すべてを遡ってチェックして初めて、いつごろだったのかが判明したのだ。
海外拠点のコンピューターを経由して拡がっていて、把握しているだけでも数百台に感染が拡大している。
最初の感染からすでに数ヶ月経過しているが、現時点でどこにどういう報告をしたら良いのか。事実を公表すべきなのかどうか。
取引先の情報など、貴重な情報がどの程度漏れたのか。それを調べてから公表したら良いのか。すぐに公表すべきなのか。
それ以前にそもそもどういう攻撃にやられたのか。それすらわかっていない。」
なかなか絶望的なシチュエーションですが(笑)、あり得てしまいそうなのが怖いところですね(この文章=ストーリーはCYDERのパンフレットに同封されているリーフレットに掲載されています)。 この状況で何ができるか。まずは方針を決める必要がありそうです。現状の把握と分析を優先するのか、被害拡大防止を優先するのか。 両方できればそれに越したことはありませんが、それだけのパワーが無いときはどちらかを選ぶことになります。
少なくとも遡ることまではできていて、「数ヶ月前に感染が始まったらしい」ということはわかっている。「現状は数百台にも拡がっているようだ。」 というように、状況はある程度把握できています。とすると「被害拡大の防止に全力を挙げる」というのが現実的な方針になるでしょうか(他の条件や材料が見えてきたら判断は異なってくる可能性もありますが)。
では、被害拡大を最も効果的に、最も速く、そして願わくばそれほど予算や人手をかけずに防止するにはどうしたら良いでしょうか?・・・
というところを最初に議論してもらうポイントにする。
そんな風にシナリオを考えていきますが、それに応じた環境をどう作れば良いか、現実的に構築可能なのか等を同時に検討しながらシナリオ作成を進めて行くわけです。
CYDERでは演習効果や使える日数などを考慮して比較的シンプルなシチュエーションに設定します。
上記のような導入部は謎としては比較的シンプルですが、状況の悪化度合いがなかなかのものになってしまっているので難しいかもしれません。数百台ものコンピューターの証拠保全を行うことは非常に困難。しかしデータが無ければ専門家も調べることができない。
では何台のサンプル(証拠データ)が必要なのか。あるいはまた、被害拡大を防ぐと言っても、すべての端末をとにかく電源から切り離して強制シャットダウンすれば良いのか。
メモリ内部の保全は行うべきなのか、行うべきだとして何台分必要なのか。あるいはまた、どの時点でどこにどんな内容の報告を上げるべきなのか、等々。解きほぐすだけでも大変そうです。
ただ、解きほぐすことができたら、個別の検討項目に向き合って検討し、全体最適を考える、というようなアプローチも考えられるようになるでしょう。 CYDER演習での学びは、個別の検討項目においてまごつかずに理解して検討し、さらには入り組んだ課題の解きほぐしにも活かしていただけるような設計を心がけています。