« ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行 | Main | SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events »

2020.12.09

G7 Cyber Expert Group サイバー演習計画に関するG7の基礎的要素 at 2020.11.24

こんにちは、丸山満彦です。

G-7 Fundamental Elements of Cyber Exercise Programmesが米国財務省のウェブページに2020.11.24付で公表されたのですが、その日本語仮訳が、金融庁、財務省、日本銀行のウェブページで公開されていました。。。

● U.S. Department of the Treasury

・2020.11.24 (press) [PDF] G-7 Fundamental Elements of Cyber Exercise Programmes

・2020.11.24 [PDF] G-7 Fundamental Elements of Cyber Exercise Programmes

日本語仮訳については、金融庁、財務省、日本銀行のページで公表されています。。。

・2020.11.30「サイバー演習計画に関するG7の基礎的要素」(の公表)について [金融庁] [財務省] [日本銀行]

・[PDF] サイバー演習計画に関する G7 の基礎的要素(プレスステートメント) [金融庁] [財務省] [日本銀行]

・[PDF] サイバー演習計画に関する G7 の基礎的要素 [金融庁] [財務省] [日本銀行]


で、まず背景ですが・・・

業界の状況について、

金融セクターで提供されるほとんどのサービスは、IT サービスの相互依存により左右されるようになっている。その原因が故意・悪意のものであるかどうかにかかわらず、IT の停止は、重要サービスを提供する組織に重大な影響を及ぼす。

という認識の上で、

G7 サイバー・エキスパート・グループ(以下「CEG」)では、こうした依存性やインシデントに対する組織の対応力・インシデントからの復旧能力をより良く理解するために、金融セクターの官・民ともにこれらの点について定期的にサイバー演習を実施することが重要であると認識している。

ということで、法的拘束力がないガイダンスとして示したものということのようです。まぁ、法的拘束力がないとはいえ、実質的には無視をするわけにはいかないということにはなるとは思いますが・・・

で、肝心の内容ですが、二部構成になっています。

  • Part A - 組織のインシデント対応と復旧の態勢・能力を向上させるために、複数の演習の種類・形式の組合せで構成される複数年に亘る演習計画を策定するための基礎的要素を概説する。

  • Part B - サイバー演習計画の中で個々の演習を構築、実施、評価するための基礎的要素を概説する。

ということですね。。。(A)演習の中期全体計画と(B)個別演習ということですかね。。。

より抜くと・・・

Part A:演習計画の基礎的要素 演習計画は、演習の実施、評価、改善、再実施のサイクルからなり、組織における継続的な改善を可能にする。演習計画は、サイバーインシデントにおける対応と復旧対応策に関する理解を促す。
1:利害関係者の関与 まず、利害関係者の関与、特に組織内の重要人物の賛同があることは、良好な演習計画の立案・維持に資するものである。
2:複数年態勢における優先事項 複数年に亘る演習計画は、改善したことを経過観察できるため法域や組織にとって大きな利益となる。複数年に亘る演習計画を成功させる鍵は、演習から学んだ教訓を演習計画や行動計画に採り込むことである。
3:改善計画 参加者のサイバーインシデントへの対応力・復旧力を向上すべき領域を特定することは、演習を実施する主な理由の一つである。 事後報告書(AAR=After Action Report)は、演習の評価結果を文書化したもので、評価に基づき改善に向けた具体的な提言を行うために活用することができる。
Part B:演習の基礎的要素 演習はインシデント対応における計画、作業、手順に習熟し評価するための機会であるとともに、失敗をしても責任を問われないリスクの低い機会である。
1:演習の計画と進行 演習の計画段階においては、演習の種類、参加者とその役割、趣旨目的、複数年に亘る演習計画との整合性、シナリオの説明を概説し、準備・実施・評価を行うチームを特定する。
2:演習の実施 演習の実施内容(参加者数やそれぞれの役割)は演習の種類によって様々である。全ての演習において、場所、技術、連絡手段、参加者の安全を確保するために、適切な工程管理ができていることが重要である。抜打ちで実施する演習ではない限り、資料の事前配布やブリーフィングミーティングは適宜実施されるべきである。これら考慮事項は、複数の法域が演習に参画するときはより重要である。
3:演習の評価 演習を評価する目的は、方針、手順、運用、システムの潜在的な改善点を特定すること、また、今後の演習の練度を高めることである。評価では演習結果をあらかじめ定めた目標・目的と比較し、演習中に記録した一連の出来事から弱点を分析する。

 

なお、Appendixは仮訳されていませんが、演習を綺麗に分類しているので参考になると思い簡単に訳してみました・・・

 


付録:用語

 

演習は、特定の演習の目的に応じて様々な形態をとることができるが、演習は一般的に次の2つに分類できる。(1)ディスカッションベースの演習(2)オペレーションベースの演習である。

 

ディスカッションベースの演習:このタイプの演習は、既存の計画、方針、手順、合意事項などに慣れる(または新たに作成する)ことができる。ディスカッションベースの演習では、戦略的、政策的な問題に焦点を当て、ファシリテーターやプレゼンテーターが議論をリードし、参加者が演習の目標達成に向けて動き出すようにする。1

 トレーニングと意識向上(セミナー/ワークショップ):参加者を対象に、権限、戦略、計画、方針、手順、プロトコル、リソース、概念、アイデアの概要を説明したり、提供したりする演習。2

 机上演習:職員が教室または分科会グループに集まり、緊急時の役割と特定の緊急事態への対応について話し合う演習。進行役がシナリオを提示し、演習参加者にシナリオに関連した質問をすることで、参加者の間で役割、責任、調整、意思決定についての議論が始まる。机上演習は、話し合いのみをベースにした演習であり、機器やその他のリソースを配備する必要はない。3

 ゲーム:競争環境または非競争環境において、個人またはチームのために設計された、構造化された対話的な遊びの形態の演習。プレイヤーが参加するイベントで、明確なルール、データ、実行のための手順が示されている。ゲームは、参加者が意思決定を行い、もっともらしい行動をとることを確実にするために、実際の状況または仮定の状況を描写するように設計されている。4

 

オペレーションベースの演習:このタイプの演習は、計画、方針、手順、合意を検証し、役割と責任を明確にし、リソースのギャップを特定することができる。オペレーションベースの演習には、通信の開始や人員・リソースの動員などのリアルタイムの対応が含まれる。5

 機能訓練:シミュレーションされた作戦環境の中で、緊急事態に対する作戦準備を検証するための訓練。機能訓練は、1つまたは複数の機能的側面(通信、緊急通知、IT機器の設定など)に関与する特定のチームメンバー、手順、および資産の役割と責任を訓練するように設計されている。機能演習は、計画の特定の側面を検証するものから、システムやオペレーションのタイムリーな復旧を含むすべての計画要素に対応する本格的な演習まで、その複雑さと範囲は様々である。機能訓練では、スタッフが実際の緊急時と同じように役割と責任を果たすことができるが、シミュレートされた方法で実施される。

 コミュニケーションとロジスティクスの演習:利用可能な通信技術の簡単な調査から、危機管理チームの会議室に危機管理チームを集める演習まで、その範囲は多岐にわたる。この演習では、計画書に記載されている責任と電話番号、手順、エスカレーション戦略、対応する人との連絡能力、代替者のルールなどを演習する。また、利用可能な計画が最新のものであるか、理解しやすく、管理しやすいものであるか、手順が実用的であるか、使用する技術(警報システム、緊急電話、インターネット、無線、衛星通信装置など)が効果的で、適切で、運用可能なものであるかを確認する。6

 フルスケール演習 (FSE):現実的な状況に基づいた演習で、経営者から個々の従業員に至るまでの階層のすべてのレベルが演習に参加する。準備、実行、評価に必要な時間と費用は過小評価されるべきではない。にもかかわらず、組織が事業継続管理に高い要求を課している場合には、本格的な演習を実施すべきである。本格的な演習は、定期的に実施されるべきであるが、各事業継続演習の間には、より長い間隔を空けて実施すべきである。7

 

  1. Derived from: U.S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-6). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,

  2. S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-6). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,

  3. National Institute of Standards and Technology (NIST) (2020). NIST Special Publication 800-84, (Guide to Test, Training, and Exercise Programs for IT Plans and Capabilities). Retrieved from https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-84.pdf

  4. Derived from: U.S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-8). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,

  5. Derived from: U.S. Department of Homeland Security. (2020). Exercise and Evaluation Program (HSEEP) (Section 2-9). Retrieved from https://www.fema.gov/media-library-data/1582669862650-94efb02c8373e28cadf57413ef293ac6/Homeland-Security-Exercise-and-Evaluation-Program-Doctrine-2020-Revision-2-2-25.pdf,

  6. Derived from: Federal Office for Information Security (BSI) (2009). BSI-Standard 100-4. Retrieved from https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/BSIStandards/standard_100-pdf?__blob=publicationFile&v=1

  7. Derived from: Federal Office for Information Security (BSI) (2009). BSI-Standard 100-4. Retrieved from https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/BSIStandards/standard_100-pdf?__blob=publicationFile&v=1

G7

 

|

« ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行 | Main | SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« ENISA 自国のサイバーセキュリティ能力の成熟度を自己評価するための「国家能力評価フレームワーク(NCAF)」を発行 | Main | SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events »