2020年06月01日
毎年熱心にCYDERを受講されている邑南町役場のみなさん。忙しいみなさんがCYDERを受講する理由とその活用について、また、限られた人員の中で受講のためにスケジュールをどの様に確保されているのかなどについてお話をお伺いしました。
新井紀弘さん(以下、新井):恥ずかしながら、うちの役場、過去にインシデントがあったんです。何とか事なきを得たんですけどね。 あれは、平成27年11月末の夕方過ぎのことでした。建設課の職員が「いつものファイルが見当たらない、なんか違うファイル名になっている。ファイルが開けない。」って電話してきたんです。外出中だった私は、急いで庁舎に戻りました。
連絡してきた職員の言うとおり、ファイルが開けないどころか、見知らぬファイルが増えていました。その増えていたファイルというのは、「ファイルを元通りにして欲しかったらお金を払え」という脅迫の画像でした。要するに、当時流行りの「ランサムウェア」にやられたんです。そもそも邑南町では、最新の脅威でなければ防げるくらいのセキュリティ対策をしていたつもりだったので、まさかうちの役場がそんなサイバー攻撃を受けるとは、予想もしていませんでした。
インシデント発覚の瞬間から、次の日もその次の日も対応に追われて、もうバタバタでした。ただ、この時は運良くインシデントに気付くのが早く、素早く対応できたので比較的被害を小さく食い止めることができ、事態の収束まで3日ほどで済みました。気づくのが遅かったら、被害はもっと大きく、事態の収束にも時間がかかっただろうと思います。
新井:インシデントが起きたことで、知識の必要性を痛感しました。当時、ネットワークとサーバーを把握している人は庁内に私しかいなかったし、ちゃんと知識を積んでおかなければって思ったんです。たとえば業者さんに「調べて欲しいこと」を依頼するにしても、「これが原因じゃないか」と疑うにしても、知識がないと上手く進めることができない、そう思いました。そんな時、ちょうどCYDERの案内が来たんです。インシデントが起きたときの対処法を学べるだけでなく、他のセキュリティ研修にはない、原因を特定するためのツールを、実機を使って体験ができると書かれていて、そういった技術的なことを学びたいと思い行くことにしました。
CYDERでは、ログを見るツールを知ることができたし、「ログを見る・検索する」ということを体験できました。実際のところ、自治体職員が「ログを見たり、検索したり」って必要なのかと言われると、そこまでやることはないと思うので、絶対必要というわけではないです。でも「ログってそういうところで取れるんだな」と知っておくだけでも違うと思いました。以前から知りたいと思っていた私にとっては非常に良かったです。
CYDERを初めて受講した当時、邑南町で取っているログはクライアントのログくらいで、ネットワークのログまでは取ってなかったと思います。ファイアーウォールのログは取れたとしてもログサーバーがない状態でした。CYDERを受けたことでネットワークのログをこうやって見るんだというのを理解できたし、ログ管理の必要性にも気付けました。
他の研修にも参加しますが、多くは「警察に電話をする人」とか「メモを書く人」とかいった 内容で、ログを見るのはCYDERでしか体験できないんです。業者さんに「その時に何があった」「どういう症状があった」ってことを的確に伝えられることがすごく大事だと思っています。CYDERで学んだ内容をすぐに業務に役立てるってことは、正直私たちのような自治体では簡単ではないですが、知るきっかけになればいいなと思います。
理想としては、常時監視できる体制があればいいのですが、自分も含めみんな仕事をいくつも抱えているし、外部への委託費用やアラートを上げてくれるようなシステムの導入費用を捻出できるほど裕福な自治体ではありません。だからこそ、いざという時の対応を知識として持っているだけでも意義があると思います。
藤彌葵実さん(以下、藤彌):ちなみに、邑南町の近くには、IT企業はほぼなくて、いざという時に依頼するなら広島の企業しかないんです。広島からすぐに来て!って言っても無理がありますし...。
新井:それもあって、外部にお願いするにしても大前提として、ログをしっかり取れているとか、必要な情報を予め用意して的確に依頼をするということが、素早い対応につながると思うんですよね。
新井:私がCYDERを受けてからは毎年必ず誰かが受講するようにしていて、主に総務課の職員が参加しています。情報担当職員ではないけれど、いざという時には情報担当に近いポジションなので、CSIRTのメンバーとして行ってもらっています。CYDERでは技術的な部分だけでなく、インシデントの対応や一連の流れについても学べるので、万が一の時はこんな対応するんだなとか、知ってもらうのに良いと思っています。
多い時は3人で行くこともありました。3人全員が全く同じ仕事を担当している訳ではないので、それぞれが調整できてさえいれば、できる限りの人数で行っています。たとえば私と藤彌が行きますっていうと、仕事が重複していることもあって調整は必要ですが、何かあったら上司に一時対応をお願いしつつ、必要に応じて私も電話で対応します。
ちなみに邑南町役場は、稲刈りの時に休みますとか、地域の祭りがあって休みますとか、日頃から担当職員が職場を不在にすることに対して柔軟に対応しています。そうやって不在にしても回るようにしておく方が業務としてもいいと思います。CYDERのようなセキュリティ研修が本当に必要なら、職場を空けても大丈夫なように調整したほうが良いと思いますが、どうしても行けない人ももちろんいると思います。自分が主担当の仕事で、他の職員では対応できないといった場合もありますからね。
藤彌:でも、私たちはできる限り行きますね。
新井:そうですね。いざという時には電話で対応するって決めているし、他の職員に可能な範囲で対応してもらえるようにしておくという感じですね。
藤彌:研修に行っている間にインシデントが起こったとか、問い合わせが入ったとかいった時に、本庁にいる職員に電話をかけて対応してもらえるっていう信頼関係はありますね。
藤彌:CYDER受講時には、初めて聞く言葉もありました。「POC」とか、「CSIRT」とか。受講者はそういった専門用語をほとんど知らない人が多い気がします。
新井:専門知識がない職員にとって、「IPアドレス」「DDoS攻撃」とか「フォレンジック」みたいな言葉は覚えにくいみたいです。でも知らなくていいんですよ。知らないのも当然だし、CYDERに行って初めて知るとか、ちょっと記憶に留めてくるだけでもいいと思っています。業者さんに発注する側として、一般的な知識でどういうことが必要なのかとか、どういう作業をしてもらうのかというのを知る機会として捉えているので。
藤彌:私は普段実務でやらないこともCYDERで学べて、すごく勉強になりました。専門的な知識があまりない方だとしても、「不用意にファイルを開いたことによりこれだけのことが起こるんだな」という認識を共有して、セキュリティの重要性を実感できると思うんです。いざという時に、「話している内容がちゃんと通じる」とか、「何時何分に何々があった」と報告できるとか、そういうところを身につけられると思いました。
有事の際、頼りにしている業者さんから「ネットワーク分離してください」とか「証拠保全してください」って言われても、どうしたらいいのかわからなかったら困りますもんね。
新井:ネットワークをすぐには分離しちゃいけないとかね。分離する前に、まず状態をちゃんと把握して保全するっていう作業も、知識がなければ、「どんどん被害が広がっているのに、どうするの!」って固まってしまうしね。
藤彌:サイバー犯罪は特殊なので、どんな攻撃手法があってどんな被害を受ける可能性があるかとか、セキュリティ被害の事例を知っておくのは専門家じゃなくても必要ですよね。総務課の普段の業務ですぐに役立つとは思わないですけど、知っているか知らないか、聞いたことがあるかないか、その違いは大事だと思います。
新井:私が定期的にCYDERを受けるべきだと思うのは、私たちは普段、セキュリティ業務だけに関わっているわけではないからです。他の業務を行いながらCSIRTを運用するとなると、一回訓練を受けたところで時間が空くと忘れてしまう。常に危機意識を持っておくためには繰り返しの受講が必要かなと思っています。
全職員に向けてというのは難しいですが、有事の際に現場を動かすメンバー、情報システム運用のポジションに近い人たちには、CYDERを受けてもらった方がいいと思います。