演習の目的

  • 検知力の強化:異常な挙動を早期に発見できるか
  • 対応力の確認:インシデントレスポンス手順が機能するか
  • 連携の確認:CSIRTとIT部門、経営層、広報などの連携が円滑か
  • 改善点の抽出:演習後に課題を洗い出し、次の対策につなげる
  • BCPの実践:バックアップからの復旧を実際に試し、事業継続計画(BCP)の有効性を確認

シナリオ作成のポイント

  • 現実的なケースを想定
    • 例:社員が受信したメールの添付ファイルから感染
    • 例:VPN認証情報が漏洩し、外部から侵入
  • 段階的に進行
    • 初期侵入 → 横展開 → 暗号化 → 身代金要求
  • 演習用の疑似マルウェアや模擬ツールを使用
    • 実際のマルウェアは使わず、ファイル暗号化を模擬するスクリプトや「感染を通知するダミーファイル」で代替

体制の構築

  • CSIRTが演習を主導
  • 参加者の役割分担
    • 攻撃側(レッドチーム)
    • 防御側(ブルーチーム)
    • 観察・評価役(ホワイトチーム)
  • 情シス部門(または部門担当者)の参加
    • バックアップからの復旧手順を実際に試す
    • 復旧時間や手順の妥当性を検証
  • 経営層や広報も巻き込む
    • 実際の危機対応を想定し、意思決定や社外発表の流れも確認

アウトプットを決める

  • 演習レポート
    • 各ステップの所要時間
    • 発見・対応のタイミング
    • 改善点・反省点
  • チェックリスト化
    • 次回演習や実際のインシデント対応に活用

詳細手順リストの例

  1. シナリオ説明(10分)
  2. 初期侵入の模擬実行(20分)
  3. 検知フェーズ(30分)
  4. 対応フェーズ(40分)
  5. バックアップからの復旧演習(40分)
  6. 経営層への報告演習(20分)
  7. 振り返り・反省会(30分)

各項目で「所要時間」「対応の質」「改善点」を記録する。

実際のマルウェアを使わずにスタートするアイデア

  • 模擬暗号化スクリプト:ファイル名を「LOCKED_〇〇.txt」に変更するだけ
  • ダミー感染ファイル:特定フォルダに「感染しました」というテキストを自動生成
  • システムログの擬似生成:不審なログイン試行や異常通信を模擬的に記録
  • 机上演習:技術的な実行はせず、シナリオを紙やホワイトボードで進行
  • Eicar使用 : EicarファイルをダウンロードさせEDRから実際にアラートを発生させる
  • ファイルレス : 疑似的にPowershellによる外部通信コマンドを実行しファイルレスによる攻撃検知されるかも検証してみる

まとめ

CSIRT主導のランサムウェア演習は、 「現実に近いが安全な環境」 で行うことが鍵です。目的を明確にし、シナリオを現実的に設計し、体制とアウトプットを決めることで、演習は単なる訓練ではなく「組織のセキュリティ文化を育てる場」となります。さらに、バックアップからの復旧を組み込むことでBCPの実効性を確認できる点が大きな価値となります。