Overview
机上演習(Tabletop Exercise:TTX)とは、仮想的なサイバーインシデントシナリオに基づいて、関係者が会議形式で対応手順を議論・確認する訓練手法です。実際のシステムを操作することなく、インシデント対応計画の有効性、意思決定プロセスの妥当性、組織間の連携体制を検証することができます。参加者は提示されたシナリオに対して「自分ならどう判断するか」「次に何をすべきか」を討議し、対応計画の不備や改善点を洗い出します。
机上演習は、サイバーセキュリティ訓練の中でも比較的低コスト・低リスクで実施できる方法です。実機を使用しないため業務への影響がなく、経営層を含む幅広い関係者の参加が容易です。一方で、実際の技術的な操作スキルの検証には限界があるため、機能演習(Functional Exercise)やフルスケール演習(Full-Scale Exercise)と組み合わせて実施することが推奨されます。
近年のサイバー攻撃の高度化に伴い、定期的な机上演習の実施はもはや任意ではなく、多くの規制やフレームワーク(ISO 27001、NIST CSF、金融庁ガイドラインなど)で要求される必須活動となっています。特にランサムウェア攻撃、サプライチェーン攻撃、内部不正などの現実的なシナリオに基づく訓練が重視されており、演習の結果はインシデント対応計画の改善や、組織のサイバーレジリエンス強化に直結します。
Details
サイバーセキュリティ訓練の種類
サイバーセキュリティ訓練は、複雑さとリソース要件に応じて複数のレベルに分類されます。机上演習(TTX)は最も基本的な形態で、シナリオベースのディスカッションにより対応計画の検証を行います。機能演習(Functional Exercise)は、実際のツールやシステムを使用して特定の機能(検知、封じ込め、復旧など)を実践的に訓練します。
フルスケール演習は、実際のインシデントに近い環境で組織全体が参加する大規模な訓練です。また、レッドチーム演習は攻撃者役のチームが実際に組織のシステムを攻撃し、防御側(ブルーチーム)の対応力を評価する高度な訓練形態です。組織の成熟度に応じて、これらの訓練を段階的に実施していくことが効果的です。
机上演習の計画と準備
効果的な机上演習を実施するためには、入念な計画と準備が不可欠です。まず、演習の目的と範囲を明確に定義します。目的は「インシデント対応手順の検証」「経営層の意思決定訓練」「部門間連携の確認」など、具体的に設定します。次に、参加者を選定します。CSIRT、IT部門、法務、広報、経営層など、実際のインシデント対応に関与するメンバーを含めることが重要です。
シナリオの設計は演習の成否を左右する最も重要な要素です。自組織が直面する可能性の高い脅威(ランサムウェア、標的型攻撃、内部不正、クラウド障害など)に基づいた現実的なシナリオを作成し、段階的に状況が進展する「インジェクト」(追加情報の投入)を用意します。シナリオは参加者に事前に開示せず、当日の議論を活性化させることが効果的です。
机上演習の実施プロセス
机上演習は通常2~4時間程度で実施されます。ファシリテーター(進行役)がシナリオを段階的に提示し、各段階で参加者に質問を投げかけます。例えば「ランサムウェアの感染が検知された。まず何をしますか?」「顧客データの漏洩が判明した。いつ、誰に、何を報告しますか?」といった問いかけにより、参加者の対応判断を引き出します。
演習中は、記録係が議論の内容、判明した課題、改善提案を詳細に記録します。演習の最後にはホットウォッシュ(即時振り返り)を行い、参加者の率直なフィードバックを収集します。その後、正式なAAR(After Action Report:事後報告書)を作成し、発見された課題と改善アクションを文書化して関係者に共有します。
効果的なシナリオ設計のポイント
シナリオは組織にとって現実的かつ挑戦的なものであるべきです。最近のサイバーインシデントの事例やトレンドを参考に、自組織の業界・規模・IT環境に合わせたシナリオを設計します。良いシナリオには以下の要素が含まれます。
- 段階的なエスカレーション:初期の検知から、被害の拡大、外部通報、メディア対応まで、状況が段階的に深刻化するシナリオ
- 意思決定のジレンマ:「システムを即座に停止すべきか、業務を継続しながら調査すべきか」など、正解がない判断を迫る状況
- 複合的な課題:技術的対応だけでなく、法的義務(個人情報保護法に基づく報告義務)、広報対応、取引先への通知など多面的な課題
- 想定外の展開:「バックアップも暗号化されていた」「CSIRTリーダーが休暇中で連絡がつかない」など、計画通りにいかない状況
演習結果の活用と継続的改善
机上演習の真の価値は、演習後の改善活動にあります。AARで特定された課題に対して、具体的な改善アクションと担当者、期限を設定し、確実に実行することが重要です。典型的な改善項目としては、インシデント対応手順書の更新、連絡体制の見直し、検知ツールの追加導入、外部専門家との契約締結などが挙げられます。
演習は単発ではなく、年間訓練計画に基づいて定期的に実施すべきです。シナリオを変えながら繰り返し訓練することで、組織全体のインシデント対応能力が段階的に向上します。また、前回の演習で特定された改善策が実際に機能するかを次回の演習で検証する、PDCAサイクルを確立することが理想的です。
Security Measures
- 01年間訓練計画の策定と経営層の参加確保:年2回以上の机上演習を含む年間訓練計画を策定し、経営層を含む主要ステークホルダーの参加を確保してください。経営層が参加することで、意思決定の訓練とセキュリティ意識の向上を同時に達成できます。
- 02現実的なシナリオの継続的な更新:最新のサイバー脅威トレンドや実際のインシデント事例に基づいてシナリオを定期的に更新してください。自組織の業界で発生した実際のインシデントを参考にすることで、参加者のリアリティ感と危機意識を高めることができます。
- 03部門横断的な参加体制の構築:IT・セキュリティ部門だけでなく、法務、広報、人事、経営企画、事業部門など、実際のインシデント対応に関与するすべての部門からの参加を確保してください。部門間の連携不備はインシデント対応の最大の障害となります。
- 04AAR(事後報告書)に基づく改善の実行管理:演習後のAARで特定された課題に対して、具体的な改善アクション・担当者・期限を設定し、進捗を管理してください。改善アクションの実行率を演習プログラムのKPIとして追跡することを推奨します。
- 05段階的な訓練レベルの向上:机上演習から始めて、機能演習、フルスケール演習へと段階的に訓練のレベルを引き上げてください。組織の成熟度に応じて、レッドチーム演習やパープルチーム演習の導入も検討しましょう。
- 06外部専門家の活用とベンチマーク:社内リソースだけでなく、外部のセキュリティコンサルタントやインシデント対応専門企業にファシリテーションを依頼することで、客観的な視点と専門知識を活用してください。業界標準やベストプラクティスとのギャップ分析も効果的です。
Incidents
📋 金融機関における大規模サイバー演習「Delta Wall」(日本)
金融庁は、日本の金融機関を対象とした大規模なサイバーセキュリティ演習「Delta Wall」を定期的に実施しています。この演習では、サイバー攻撃を受けた際の金融機関の対応力を検証するため、ランサムウェア感染、DDoS攻撃、不正送金といった現実的なシナリオが用いられます。
参加金融機関は、演習を通じて自社のインシデント対応体制の弱点を発見し、改善につなげています。特に、経営層への報告タイミング、金融庁への報告手順、顧客への告知方法、他金融機関との情報共有体制などが重点的に検証されています。この演習は、日本の金融セクター全体のサイバーレジリエンス向上に大きく貢献しています。
📋 ランサムウェア対応訓練の不備が露呈した製造業の事例(2023年)
2023年、日本の大手製造業がランサムウェア攻撃を受けた際、事前に机上演習を実施していたにもかかわらず、実際の対応で多くの混乱が生じました。演習シナリオが「標的型メール攻撃」のみを想定しており、ランサムウェアによる全社的なシステム停止という状況を訓練していなかったことが原因でした。
具体的には、工場の生産管理システム(OT系)が停止した際の代替オペレーションが未定義であったこと、バックアップからの復旧手順が文書化されていなかったこと、社外への通報判断基準が不明確であったことなど、多くの課題が明らかになりました。この経験を踏まえ、同社はシナリオの多様化と、IT・OT統合での演習実施へと方針を転換しました。
📋 米国CISAによるCyber Storm演習プログラム
米国CISA(Cybersecurity and Infrastructure Security Agency)は、連邦政府機関、民間企業、国際パートナーが参加する大規模サイバー演習「Cyber Storm」を隔年で開催しています。この演習は、重要インフラに対する大規模サイバー攻撃を想定し、官民連携での対応能力を検証するものです。
Cyber Stormでは、電力、通信、金融、交通などの重要インフラセクター間の相互依存関係を考慮した複合シナリオが用いられ、セクター間の情報共有や協調対応の訓練が行われます。演習の成果はレポートとして公開され、参加組織だけでなく幅広いコミュニティがインシデント対応能力の向上に活用できるようになっています。この取り組みは、国家レベルのサイバーレジリエンス向上に大きく寄与しています。