ics security training ... what works and what is needed (japanese)

大規模サイバーセキュリティ演習から学ぶ

レジリエントなインシデントマネジメント

名古屋工業大学青山友美

Nagoya Institute of Technology

自己紹介青山友美• 名古屋工業大学　博士前期課程２年• マネジメント工学を専攻• 2012 年より ICS セキュリティ研究チームに

所属• 2013 年 ENCS (European Network for Cyber

Security) にて６ヶ月のインターンシップ

ENCS で思ったことトレーニングの有効性

• トレーニングにはどのような効果があるのか？– 特に　 Red Team Blue Team （対戦）型トレー

ニングの価値は？　

Source: https://education.encs.eu/training/training-overview/encs-advanced-cyber-security-course-red-team-blue-team-training

Source: https://secure.inl.gov/icsadv1214/

Source: https://www.qut.edu.au/study/short-courses-and-professional-development/short-courses/cyber-security-industrial-control-systems

Red-team Blue-team 演習Red Team• 攻撃チーム• １０名程度• シナリオ– ブルーチームの敵対企

業に雇われたハッカー集団

– 生産の妨害・システムの破壊が最終目的

Blue Team• 防御チーム• ２０名程度• シナリオ– 化学製品を生産するプ

ラント– 参加者がそれぞれマ

ネージャー・ IT 管理者・オペレータなどの役職を演じる

これから話すこと0. 観察視点 : ゲーミングシミュレーションの世界観1. 関心対象の世界とは？2. モデル化3. ゲームの構築4. シミュレーション世界5. デブリーフィングから…ゲームの展望

トレーニング観察の視点ーゲームシミュレーションの世界観

生活世界Real World

Systemシステム

Model of Reality対象世界のモデル（数式・図式・概念・メタ

ファー・その他）

Scenario プレイ可能なゲーム（シナリオ・役割記述・ルー

ル・その他）

Reality 関心の対象となって

いる世界

Simulationゲーミング

シミュレーション世界

表現

設計

実施

Ref: 出口弘 , et al. ゲーミングシミュレーション . 日科技連出版社 , 1998., Kriz, Willy C. "Creating effective learning environments and learning organizations through gaming simulation design." Simulation & Gaming 34.4 (2003): 495-511.

生活世界

システム

対象世界のモデル（数式・図式・概念・

メタファー・その他）

プレイ可能なゲーム（シナリオ・役割記述・

ルール・その他）

関心の対象となっている世界

ゲーミングシミュレーション世

界（≠「現実世界の表現」）＝　設計者によって構造化されたもう一つの現実世界

表現

設計

実施プレイヤー知識

体感想像

過程をトレース


生活世界

システム

対象世界のモデル（数式・図式・概念・メタ

ファー・その他）

プレイ可能なゲーム（シナリオ・役割記述・ルー

ル・その他）

関心の対象となっている世界

ゲーミングシミュレーション世

界（≠「現実世界の表現」）＝　設計者によって構造化されたもう一つの現実世界

表現

設計

実施

「ゲーミングで経験した現実」と「これまでの経験をもとに考えていた現実」を比較

→ 　現実世界に対する認識を深める

プレイヤー知識

体感想像


過程をトレース

1. 関心の対象となる世界Reality

“ サイバー攻撃を受けると何が起きるのか？”

M SR G

2. 対象世界のモデル ①エージェントと目的

Source :Branlat, Matthieu. Challenges to Adversarial Interplay Under High Uncertainty: Staged-World Study of a Cyber Security Event. Diss. The Ohio State University, 2011.

M SR G

2. 対象世界のモデル②時間軸とアクティビティ

M SR G

対象世界のモデル 3

People

Facility

HUB1

HUB0Inetrnet

192.168.11.0/24

192.168.12.0/ 24

192.168.1.0/ 24

Hub2

Hub3

GateWay1

GateWay2

GateWay3

業務

系NW

制御

系NW

業務

用

WEB server&SQL server

Windows 2003 sp2

OPCデー

タサー

バ

SCADA1

SCADA1

ZONE1 Controller

ZONE2 Controller

UT35A(LC1)UT32A(PI)

UT32A(TC1)

UT35A(FC)UT32A(TI2)

UT32A(LI2)

OPC1

OPC2

InternetNetwork

ルー

ター

Global Internet Address

ファイア

ウォー

ル

IT & Control system

M SR G

OT

IT

MNG

3. 　ゲームの構築Red Team• 攻撃チーム• １０名程度• シナリオ– ブルーチームの敵対企

業に雇われたハッカー集団

– 生産の妨害・システムの破壊が最終目的

Blue Team• 防御チーム• ２０名程度• シナリオ– 化学製品を生産するプ

ラント– 参加者がそれぞれマ

ネージャー・ IT 管理者・オペレータなどの役職を演じる

M SR G

4. ゲームの実施

シミュレーション世界＝主観的な世界

M SR G

Debriefing の効果• 参加者：それぞれが体験したシミュレー

ション世界を表出化→共有• ファシリテーター：モデル・シナリオの意

図通りの学習効果が得られているかを確認

M SR G

ゲームシミュレーション世界からの学習Lessons learned in simulated world

危機感の認識（ Awareness ）

• セキュリティ対策の必要性を理解• 深刻さに気づく– “ダメージは理解していたが、こんなに簡単

に起こってしまうとは思わなかった” ( 参加者、レッドチームの体験から )


Learning 1• 攻撃・防御ツールを実際に近い場で使う• →使い方・有効性を確認

Learning 2• IT ICS Management それぞれの役を演じる→ 意思決定におけるトレードオフを体験


Learning 3• 変更要求はすべて Board member （ファシ

リテータが演じる）の許可を得る必要→ サイバー攻撃は自分一人では対応できない問題社内ステークホルダーに理解してもらえるだけの説明力・説得力を学ぶ


Learning 4• 攻撃の失敗　→（突破口）→成功　を繰

り返す攻撃者のリズムを体験→ 攻撃の難しさ（成功＝突破口 *( タイミング * 知識 * 戦法）と、条件が合致したときの攻撃の容易さを体験


ファシリテータが意図しなかったフィードバック

• “I learned communication is very important.”– インシデントマネジメントのプロセスにコ

ミュニケーションが必要な要素であると解釈している

→システムモデルを、コミュニケーションを含む形で読み取ろうとしている

コミュニケーションはモデル化されていない

• Lessons learned の多くがヒトを介在している– レジリエンス向上させる因子として、ヒトに

可能性を見出している→しかし、思うようにいかないジレンマを感じてい

るマネジメントシステムはモデル化されていない

次のサイクルへ

　 RTBT ver.2 に向けて – ヒトモデルの追加レジリエンスマトリックスによる解釈 M S

R G

• これまでトレーニングとして注目されてきたのは個人の注意力・ルーチンワーク

→Communication と Dynamic Adaptation のトレーニングは可能か？

RTBT に見える可能性１communication training

• 事例１

• Incident Manger の設定

RTBT に見える可能性２Dynamic Adaptation

• 事例２

• 重視タスクの変動

もうひとつの RT..OT?

• 現在のトレーニングはあくまで制御システムまわり

• モデルにはプラント自身がもつレジリエンス * （待井氏の発表を参照）が含まれていない

• OT のレジリエンスを十分に体験できるトレーニングがあっても良いのでは？– 名古屋工業大学にてワークショップを展開予定