サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

サイバージム石原紀彦氏が語る重要インフラのサイバーディフェンス訓練とは



サイバー攻撃のトレンドは年々変化しています。2000年代に入った当初は、愉快犯による攻撃が多数を占めていました。ところが、近年では金銭や株価操作を狙った組織的な犯行が顕著に。また、国家単位のインフラを狙った攻撃などが多様化しています。

株式会社バルクホールディングスの石原紀彦代表取締役社長は「昨今では重要インフラにおけるサイバーディフェンスが必要。大きなインシデントは人的要因がほとんど。経営者や一般社員を含めた“人”を訓練しなければならない」と話します。

同社は世界各地でサイバートレーニングを行う「サイバージム」を運営。これは、イスラエルのセキリュティコンサルタント企業とイスラエル電力公社によるジョイントベンチャーです。イスラエル電力公社は2018年に2億回以上のサイバー攻撃を受けており、また、2017年には月間で7,000万回の攻撃を受けたこともあります。

石原氏は「月に1,000から3,000件は、既存のセキュリティプロダクトでは防御ができずに侵入されてしまう。サイバー攻撃を完全に防ぐことは困難だが、早期復旧や影響を最小限に抑えるためにイスラエル電力公社では従業員12,000中7,000人がトレーニングを受けている」とし「サイバージムでは、これらの知見を活かしたトレーニングを政府や民間企業に提供している」と語ります。

「経営層」と「OT部門」がキーワード

サイバージムでは重要インフラにおけるシステム、人、プロセスを訓練する「サイバートレーニング&テクノロジーアリーナ」を開発。ボイラーや温度計などのオペレーション機材をトレーニングセンターに搬入し、イスラエルから攻撃を仕掛けるシミュレーションを行うことで、リアルなハッキングを体験することが可能です。

また、サイバージムにはイスラエル参謀本部諜報局情報収集部門の8200部隊やアメリカ国家安全保障局NSAで実践を経験し、高い技術とノウハウを有するメンバーが在籍しています。さらに、世界各国のサイバーインシデント発生時から72時間以内に分析し、このシナリオをトレーニング化しています。

これらを土台とした独自開発されたトレーニングプログラムを提供。擬似役員会の実施などが取り込まれた「経営層向けトレーニング」のほか、より実践的な「セキュリティ部門、IT部門向けトレーニング」、ホワイトハッカーを養成する「ペネトレーションテスタートレーニング」、オペレーションサイトに焦点を当てた「OT部門向けトレーニング」などを用意しています。石原氏は「特にこれからは経営者層とOT部門が大事」だとしました。

最近ではスマホ決済サービス「セブン・ペイ」やファイル送信サービス「宅ふぁいる便」がサイバー攻撃を受け、事業停止となりました。社会全体に大きな影響を及ぼす重要インフラであれば、なおさら重大な経営責任が問われます。「サイバー攻撃への対策はコストではなく投資と捉えるべき。どこまで対策すれば経営責任をはたせるか、そして重大な被害を回避できるのかを考えることが重要」と石原氏は訴えました。

「経営層向けトレーニング」は約3時間。1日または2日間のコースがあります。サイバーセキュリティの最新動向やサイバーセキュリティに対する方針と基準の定義、サイバーセキュリティマネジメントに関連する利害関係者との折衝、調整スキル、サイバー攻撃や情報漏洩に関する法的リスクとデータセキュリティに特化した対応能力などを学びます。

石原氏によると、このトレーニングはサイバーセキュリティマネジメントにおける経営判断の向上やサイバー攻撃を受けた際の重要な意思決定の仕組み・対応の理解といった効果が期待できるそうです。「定期的な診断も重要。サイバージムではまた、ホワイトハッカーやAIを使ったペネトレーションテストも実施している」と述べました。

脅威ベースのペネトレーションテスト

機械学習・AIペネトレーションテスト

一方、OT部門については「人がいないという視点から、攻撃対象になりやすい」と指摘。Webアプリ、メールサーバー、IoTデバイス、OTデバイス、プラットホームなどだけでなくウェブカメラやルーターへの攻撃も増加しており、リスク対象の範囲が広がっています。

2019年3月にはノルウェーの大手アルミ生産企業が、ITとOT双方に大規模なサイバー攻撃を受けました。主に攻撃対象となったのはアルミ精製プロセス制御機器。企業側はノルウェー、カタール、ブラジルにある生産施設を手動操作に切り替えざるを得ませんでした。これにより生産効率にが低下し、同社のシェアが3.4%下落したという事例もあります。

「OT部門向けトレーニング」は2日〜4日間。最新APT攻撃の実体験のほか、セキュリティのポリシーと基準の確認や産業制御システムのネットワーク理解、サイバー攻撃の検知と影響度の軽減などがトレーニング内容です。サイバー攻撃の特定、不審な制御システムイベントの特定、サイバーインシデント・データ侵害の検出・制御・修復・阻止といったスキルを身につけます。

「世界的な人材不足が一番の課題」と話す石原氏。世界で120万人(45%不足)日本は20万人のサイバーセキュリティ人材が不足していると指摘されています。豊富なナレッジから開発されたプログラム、実践による体験、ハッカーズマインドを含めた座学など、多彩な視点からトレーニングを施すサイバージムの存在意義がますます高まりそうです。

CYBERGYM TOKYO

CYBERGYM TOKYOは赤坂にあるサイバー攻撃に対応するためのトレーニング施設。PLCなどの制御装置も備わっている。

住所 東京都港区赤坂1-14-11 HOMATROYAL1階
URL https://s-c-h.co.jp/

企業情報

企業名 Strategic Cyber Holdings LLC(CYBERGYM TOKYO)
URL https://s-c-h.co.jp/
所在地 107-0052
東京都港区赤坂1丁目14番11号 HOMAT ROYAL 101
設立 2018年1月
代表者 石原 紀彦


  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。