福岡県警察様サイバーインシデント対応訓練事例

メルマガ登録する

メルマガ登録する

九州の玄関口で重要インフラを守る福岡県警察の取り組み

福岡県は海を挟んで隣国に近く、博多港と福岡空港を有している。九州各県のヒト、モノ、情報が集中するため、治安対策は一通りではない。特に、国民生活と社会経済活動に大きな影響を与える重要インフラ^※へのサイバーセキュリティ対策は、国家の安全保障にも関わるため、サイバー空間の脅威に対しては的確に対処していかなければならない。サイバー攻撃による被害の未然防止を図る福岡県警察サイバー攻撃対策隊の取り組みや今回の「サイバーインシデント対応訓練」について企画したサイバー攻撃対策隊隊長の福島氏にお話を伺った。

※ 情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化学、クレジット、石油及び港湾の15分野における社会基盤。

福岡県警察サイバー攻撃対策隊

福岡県警察サイバー攻撃対策隊は、警備部公安第一課に設置され、重要インフラ事業者、先端技術保有企業、学術機関等に対するサイバー攻撃対策を行っており、主な任務は、情報収集、官民連携、実態解明（捜査）と、大きく3つある。九州では唯一の「サイバー攻撃対策隊」に指定されており、九州圏内の派遣を念頭においた活動も求められている。

サイバー攻撃情勢と対策

昨今、国内においては機密情報や知的財産の窃取、重要インフラの機能を停止するようなランサムウェア事案が発生するなど深刻な情勢が続いている。サイバーインシデントが発生した場合、単なるシステム障害なのか、サイバー攻撃なのか初期段階で判断することは難しく、事業者は原因の究明、被害の拡大防止、復旧作業等の初動対応に追われ、警察への通報が遅れてしまい、その結果、事後追跡可能な証跡が失われ、以後の捜査が困難になる状況が散見されていた。また、事業者の中にはインシデントが発生してもレピュテーションリスクをおそれ、警察への通報を躊躇したり、巧妙化する攻撃手法により被害そのものに気付かなかったりするなど、被害の潜在化も捜査や実態解明への大きな課題の1つになっている。

こうした現状を踏まえ、福岡県警察サイバー攻撃対策隊ではサイバー攻撃の標的となるおそれのある事業者に対し、インシデント発生時における警察への通報のタイミングや具体的な警察の初動対応を理解してもらう実戦的な訓練を検討していた。加えて、通報を受理した警察署の警察官が的確な初動対処を行う上で、インシデント発生時における事業者内の対応について理解する必要があったことから、事業者と警察が相互理解の下、緊密な連携の必要性と対処能力向上を図ることを目的として今回の訓練（状況付与型の机上訓練）を企画した。

ただ、今回の企画を開催するにあたり大きな壁となったのは、訓練開催に伴う費用の予算化であった。実は、この企画は2年前から予算化を目指し関係部署との調整を進めてきたが、警察部内では一部の民間企業に対して税金を投入することへの理解が得られず難航したと言う。改めて2024年度の予算化を目指し、警察部内、知事部局に対して、現状と官民連携の一層の強化の必要性を粘り強く説明するなどし予算化を成し遂げたと言う。

サイバーインシデント対応訓練

本訓練は午前中に座学で講義を行い、午後は机上訓練という構成だ。今回の訓練には、事業者のセキュリティ担当者に加え、インシデント発生時に現場に臨場する警察官を含む計25名が参加した。

机上訓練は、架空のEC企業の社員として、インシデントと疑わしき状況が発見されるところからスタートする。状況は次々に変わり、関係者への周知、ログの調査、関係省庁への報告などを同時に進行させる必要がある。机上訓練の最初は、普段接点のない事業者同士や警察官との間で会話がスムーズに進まない状況が見受けられた。実際にインシデントが発生した場合も、普段接点がない各部門や関係者が集まってチームになることが多いため、この机上訓練は実態に近い経験になると講師からコメントがあった。

各グループでは、対応をリードする人、技術的な意見を出す人、ホワイトボードに状況をまとめる人、参加者の様子を見ながら、講師への質問票・調査依頼などの指示書を書く人と、自然に役割分担が行われた。状況が進行するにつれ、参加者の発言が増え、それぞれが優先すべき作業を見つけて対応が進んでいった。過去の同様の訓練からみても、原因に近づきそうな情報が見つかると、その特定に引きずられる傾向があり、今回の訓練でも午前中の講義では、被害拡大を止める「止血」を優先するようにと講師から説明があったが原因究明に走ってしまい、その間も情報漏えいなど事態が悪化していく場面もあった。

参加者は訓練を通じて、社内での他の担当者の役割を理解し、経営層に何をエスカレーションするか、技術者がどこまで調査できるかを把握していった。参加した警察官も事業者の内情や混乱を当事者として体験することで、新たな視点を得られたようだ。

休憩時間には、「机上訓練ではこうですけど、うちだとこうします」「うちには手順書がないので作らなければいけないですね」などの発言があった。自分の所属する組織に足りていないものを見つけ、組織の行動変容につながってこそ、訓練の効果があったと言える。参加者の中には専門領域外の警察官もいて、より技術的なことを習得しなければならないと危機感を持ったようだ。

午前中の講義では、教科書通りのことしか伝えていないように感じたかもしれないが、机上訓練を経て講師による振り返りが行われると、対応の優先順位やビジネスの継続など、教科書通りのことを実行する難しさを実感できたようだ。インシデント発生時の関係機関への報告や、社内外のコミュニケーションの重要性も感じてもらうことができた。参加者の満足度も高く、終了後のアンケートでは「役に立った」という回答がほとんどだった。今回の研修では、事業者同士や警察官だけでなく、視点の異なるメンバー間の交流での意見交換が大変盛り上がった。

訓練の最後は福岡県警察サイバー攻撃対策隊のメンバーが、「インシデントが発生したとき、情報公開の直前になって連絡をいただいたり、インシデントが発生した時点のログが存在しなかったりすることが多い。早い段階で連絡いただければ、事案に関する助言だけでなく、他の事業者が同様の被害に遭わないよう注意喚起ができる」と締めくくった。

今回の訓練を通じて

今回の企画は、過去に隊員が「サイバー犯罪に関する白浜シンポジウムセキュリティ道場」でラックが実施したインシデント対応訓練へ参加したことがきっかけの1つとなった。その際に隊員が、「インシデント発生時における数ある連絡先の中で警察に通報するという意識が低く、これが被害の潜在化につながっている」との危機感を持ち、この事実を警察としても理解しておかなければ事業者と協力的な対話ができないと実感し、事業者だけでなく警察署の警察官の参加を決めたという。

今回の訓練を通じ、事業者にはどのような対応が必要となるのか、また、警察は何を求めているのかなど、両者が相互に理解し合い緊密な連携を図る良い機会となった。最後に、事業者自身の自助は当然のことながら、「サイバー空間において県民生活を守るためには共助（官民連携）の精神が重要です」と福島氏は締め括った。今後も福岡県警察サイバー攻撃対策隊は、県内の事業者等と緊密な連携を図りながら、インシデント対処能力を向上させていく。