セキュリティインシデント訓練「ゲームデー」を初開催しました
MICINの情報セキュリティ部の高橋です。2021年12月13日に実施したセキュリティインシデントに対する社内訓練「ゲームデー」について、今回はその内容をご紹介します。
MICINではセキュリティマネジメントシステムの一環として、事業継続訓練を毎年実施しています。昨年までは、机上でのコミュニケーションを中心とした訓練を実施していましたが、今年は
・インシデント対応における具体的な流れや方針の確認
・オペレーションレベルでの手順の策定と検証
・調査に必要な機能や項目の有効性チェック
の3点をテーマに掲げ、実際に疑似インシデントが発生した環境を作成し、手を動かしながらその環境を調査するという内容です。
AWSでは実戦形式の障害対応のトレーニングを『AWS GameDay』と名付けており、MICINでもそれにあやかり『ゲームデー』と呼んでいます。
約2ヶ月前から準備を始め、訓練の目的決定、実際に本番データを扱うエンジニアにヒアリングを行い、攻撃の想定を行いました。今回はゲームデーとしては初回実施ということで、コンパクトな内容を目指し、『curon』よりもシンプルなオンライン診療サービスである『curon typeC』を対象のプロダクトとして選定しました。
医療機関に発行しているアカウント情報が漏えいし、ブルートフォース攻撃により不正ログインされ、その医療機関の患者情報も漏えいするというシナリオです。
※実際のcuron typeCのサービス上ではアカウントごとに専用のログインURLが発行されるため、そのURLが窃取されない限りはブルートフォース攻撃による不正ログインは成立しません
ゲームデーの数日前には検証環境へ実際に模擬ブルートフォース攻撃を行い、不正ログインに成功したログを残しました。このログを調査によって発見してもらおうという算段です。
当日は運営側と解答側、合わせて11名がリモート環境に集まり、制限時間2時間のなかで調査を実施しました。
情報セキュリティ部とSRE(Site Reliability Engineering)チームが運営側となり、事業部のアプリケーションエンジニアとサポートエンジニアが解答側となり、シナリオと環境を伝えて訓練がスタートしました。
約20分間でまずは調査方針を立て、役割分担しながら調査を効率よく実施し、調査から約40分で原因の特定に成功、その後暫定措置や再発防止策を討議して、訓練はほぼスケジュールどおりに終了しました。
普段開発をメインに担当しているアプリケーションエンジニアですが、運用分野であるインシデント調査も的確にこなしており、実力の高さを感じました。訓練終了後は解答発表の予定でしたが、自力で答えに辿り着いたため省略し、訓練全体の振り返りを実施しました。
参加メンバーからは
・普段からツールの使い方に慣れる必要があると感じた。
・文章や頭で理解するだけではなく、実務を想定して実際にプレイをすることで、有事の対応方法が身に付いた。
・普段の体制や考えておかなければならない箇所が見つかったのはとても助かった。
といった好評な意見を伺うことができました。
運営側としては、情報セキュリティ部は全社のツール類を整備する役割を持っているため、エンジニアが迷いなく安心して動ける環境の整備を行っていく必要があるなと再認識させられました。また、訓練シナリオの考案を通じて、攻撃者の視点を養うことで防御に必要な観点を再認識できました。
今後はよりレベルの高い攻撃手法による訓練や、エンジニアだけでなく、ビジネスサイドのメンバーも加えた実体制に近い訓練を目指していきたいと考えています。ISMS認証の要件である年一回の訓練ではなく、頻度を上げ実施することで、インシデント対処の実効性の向上を目指していきます!
