アナログゲームで体験するサイバーセキュリティ模擬訓練～インシデント対応ボードゲーム金融版ワークショップレポート

　お正月は、トランプや花札などのカードや、すごろくや人生ゲーム、モノポリーのような各種ボードゲームなど、さまざまなアナログゲームで楽しまれた読者も多いかもしれない。

　本稿ではこれまでに国内で企業・団体・個人によって開発・配付された、情報セキュリティ、サイバーセキュリティをテーマとした各種ゲームを、おもにアナログゲームを中心にふり返りながら、ゲーム活用の実践編として、セキュリティ企業によって開発製作された、サイバー攻撃対応のシミュレーションを机上で行う「インシデント対応ボードゲーム金融版」の昨年行われたワークショップの模様をレポートする。

●セキュリティ関連のゲーム一覧

・セキュリティ投資すごろく（西日本電信電話株式会社）2008 年 4 月
https://www.ntt-west.co.jp/solution/solution/category/ntt_sugoroku.html
情報システム部門向け、Adobe Flash Player を利用した Web のすごろくゲーム、情シスとして各種セキュリティ対策を実施する。わかりやすさを追求し振り切った世界観が面白い

・セキュろく（認定特定非営利活動法人イーパーツ）2010 年
http://www.eparts-jp.org/project/2013/01/securoku130118.html
子供向けのセキュリティリテラシー教育を目的としたすごろくゲーム。佐々木良一先生監修

・フィッシングフィル（フィッシング対策協議会）2010 年 3 月
コンシュマーユーザ向け、アウェアネストレーニング大手の米ウオンバット社によるフィッシングサイトの怪しい URL を見抜く Adobe Flash Player を利用したゲーム（公開終了）

・蛇とはしご（OWASP）2014 年 10 月
英語版
https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders
日本語 Web アプリケーション版
https://www.owasp.org/images/d/db/OWASP-SnakesAndLadders-WebApplications-JA.pdf
日本語モバイルアプリ版
https://www.owasp.org/images/c/c1/OWASP-SnakesAndLadders-MobileApps-JA.pdf
ソフトウェア開発者向け、アジア発祥の古典ボードゲームをアレンジしている、セキュアコーディングを善、アプリケーションの脆弱性を悪とした世界観

・APT Challenge（BATOIKU Games）2015 年 3 月
https://boardgamegeek.com/boardgame/182418/advanced-persistent-threat-challenge
一般向け、知財奪取を狙って標的型攻撃を互いに仕掛け合う、大手セキュリティ企業で脅威分析等を行う研究者である林氏開発

・スシコン（BATOIKU Games）2015 年 8 月
https://boardgamegeek.com/boardgame/182416/sushicon
コンシュマーユーザ向け、米 APWG と NCSA が展開するリテラシー教育キャンペーン STOP. THINK.CONNECT. (立ち止まる、考える、楽しむ) を学ぶカードゲーム、APT Challenge と開発者同

インシデント対応ボードゲーム（トレンドマイクロ株式会社）2016 年 7 月
https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/learning.html
実務者向け、インシデント対応演習を行うボードゲーム

Kaspersky Interactive Protection Simulation（KIPS）オンライン版（株式会社カスペルスキー）2017 年 2 月
http://www.kaspersky.co.jp/enterprise-security/cybersecurity-awareness
実務者向け、インシデント対応を行うボードゲームで日本で過去何度も大会が開催されている

セキュリティ専門家人狼ゲーム（特定非営利活動法人日本ネットワークセキュリティ協会）2017 年 1 月
https://www.jnsa.org/edu/secgame/secwerewolf/secwerewolf.html
CSIRT 担当者向け、ネット上で盛り上がった心理戦ゲームの CSIRT 版、CSIRT 側または内部不正側に分かれて戦う

Malware Containment（特定非営利活動法人日本ネットワークセキュリティ協会）2017 年 6 月
https://www.jnsa.org/edu/secgame/malcon/malcon.html
CSIRT 担当者向け、イントラネットに忍び込んだ RAT をあぶり出す

インシデント対応ボードゲーム金融版（トレンドマイクロ株式会社）2018 年 3 月
https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/learning.html
実務者向け、2016 年に出されたボードゲームの金融版、FISC のガイドラインに沿った他、さまざまな IR の実例も盛り込まれている

●ゲームの意義

　上記のように、実はセキュリティを題材にしたゲームも過去 10 年間で多数開発・製作されており、プレイヤーの数も決して少なくない。

　セキュリティ対策は、事故発生などのイレギュラーな事象への対応が主となるが、そうそうインシデントは起きるものではない、そのため、事故発生やその対応を気軽にゲームとして疑似体験できる点にこそこれらのゲームの利点がある。

　すごろくや少人数で行うゲームはすぐに楽しむことができるが、シナリオが複雑で、複数名で実施するようなゲームはどのように活用し、楽しめばいいのだろうか。昨年行われた、インシデント対応のボードゲームをプレイするワークショップの模様をお届けしながら、それを考えてみよう。

●FISC 手引書を参考にしたボードゲーム

　2018 年 3 月、トレンドマイクロは「インシデント対応ボードゲーム金融版」の無償ダウンロードを開始した。セキュリティインシデント対応の模擬訓練を行うためのゲームで、公益財団法人金融情報システムセンター（ FISC ）が発行する「金融機関等におけるコンティンジェンシープラン（災害時の緊急時対応計画）策定のための手引書」を参考に、金融業界特有の環境やリスクを想定したものだ。公開から 2018 年末までに、すでに 460 件ダウンロードされている。

　これに先立つこと 2016 年 7 月より、同社は汎用的な「インシデント対応ボードゲーム」を無償提供してきた。これを金融版に拡張すると同時に、「インシデント対応ボードゲームスタンダード版」としてリニューアルを行った。ダウンロード数については、旧バージョンは 3,531 件（ 2016 年 7 月公開時から 2018 年 3 月 21 日まで）、スタンダード版は 2018 年 3 月 22 日の公開時から 2018 年末までの期間で 5,113 件に上る。

　同社ではこれらのボードゲームを携えて依頼に応じて取引先に出向くなどして、多数のセキュリティワークショップを重ねてきた。そして金融版のリリースを受け、2017 年 4 月 27 日と 5 月 25 日の 2 回、参加費無料で「金融業界向けインシデント対応ワークショップ」を開催した。特定の組織に向けたものではなく、Web で申し込みを受け付けるなどして、広く参加者を募った。

　まずは基本情報としてゲームのルールを簡単に紹介してから、続いて本題として 2 回目のワークショップ当日の流れや裏側を、ファシリテーターや参加者のコメントを交えて報告する。

●ボードゲームルール

　このゲームは勝者を決めるためのものではなく、参加者が同じ企業の一員として 1 つのチームとなり、一定の制約（コイン）の元、与えられた情報（イベント）から結論（アクション）を導き出すことを目的としている。ゲームを開始する前に、まずは参加者に、経営責任者、事業部門責任者、情報システム部門責任者、システム管理者、セキュリティ担当者、広報担当者といったロールを割り当てる。

　また、企業の保有する資産とブランドを表すものとして、２種類のコインが規定の枚数分、場に置かれる。「資産ポイント」や「ブランドポイント」といった持ち金（コイン）を設けることで、ゲーム感覚で楽しく行えるようにしながらも、実際に組織でインシデント対応を行うにあたって現実に損失しうる費用やブランドイメージにも意識を向ける意図があるという。

　イベントカード（「不正なサーバへのアクセスを検出」など）を 3 枚引くとゲームが始まる。イベントカードを元に発生しているインシデントを予測し、インシデント対応プランを検討する。この時、参加者は割り当てられたロールに即して議論を行う。そこで得られた結論から、アクションカード（「対象機器を調査する」など）を 2 枚選ぶ。最後に、資産およびブランドに与えた影響として、アクションカードに記載されている枚数に従ってコインを支払う。なお、ゲーム中にコインが増えることはない。これで1ラウンドが終了するが、ゲームボードには 2回分の場が用意され、2 ラウンド行うように設計されている。

●チーム編成の目的とファシリテーターの役割

　さて、ワークショップ当日である。受付時に、まずは着席するテーブルが指定される。当日は 27 社から 31 名が参加し、6 チームに振り分けられた。5 ～ 6 名の参加者とトレンドマイクロのファシリテーター 1 名で、1 チームが編成される。

　参加者の所属企業の業界は、銀行 8 社、保険 10 社、証券 6 社、その他（ FinTech 企業含む）3 社と分散している。同じ組織から複数人が参加した場合には、テーブルが分けられた。チーム決めには、主催者の「新たな視点を持ち帰ってほしい、同じような悩みを共有して、議論が盛り上がるように」という意図が背景にある。

　会場の設営としては、テーブルの間隔が広く設けられ、作業中に立ったり歩いたりしやすくなっている。またスクリーンが 3 枚用意され、どこからでもスライドを確認しやすい。各テーブルには、ゲームキットとホワイトボードが 1 つずつ備えられている。ゲームキットはダウンロード版より大きくてしっかりとした造りのもので、収納用ボックスも付属しており、一般の市販のボードゲームと比べて遜色ない（非売品）。会場やハードへの配慮も重要である。

　ワークショップ全体の進行は、各チーム担当のファシリテーターとは別のメインファシリテーターを務める山外一徳氏（コアテク・スレットマーケティング部スレットマーケティングマネージャー）が担った。挨拶やゲームの進め方の説明に続いて、チームごとにロールを決定する際の指針が示された。実際の業務上のロールとは異なるロールを選択する、というものだ。日頃のしがらみを離れることが、新しい発見を生むという考えに基づくディレクションだろう。またチーム別の作業中の進行係や書記係も、ロールに基づいて指名された。

　ワークショップではチーム毎のプロセスや考え方、結論の違いをより浮彫にさせるために、全チームが共通のインシデントに取り組む。予めイベントカード3枚が指定され、さらにネットワーク図やログといった情報も提示された。この点はダウンロードしたゲームのルールとは異なる。

●あえて実際の職務とは別の役割に

　山外氏の説明が終わり、テーブルごとの議論に入ると、最初は初対面の参加者同士で出方を窺う様子が見受けられた。複数の参加者で 1 枚の資料を眺めたり、書記係が立ってホワイトボードに板書したりするうちに、ファシリテーターの介入もあって、議論が回るようになっていった。所属企業ではシステム運用を担当している参加者が、ゲームでは事業部門責任者となり「業務を継続したいから、システムは停止させないでほしい」と発言して、厳しい条件下でのシステムの継続運用を求められるほうから求めるほうへと、日ごろシステム運用担当として現業部門からの要求や難題に苦しんできた憂さを晴らす（？）シーンなども見られた。

　山外氏によると、事前に各チーム担当のファシリテーターが集まり、議論を盛り上げるための準備を行うそうだ。こうした仕込みもゲームを通じた体験の質を高めるのに役立つ。また、ファシリテーターには、積極的に参加していない人をフォローする　役割がある。

　さて、アクションが決定すると、6 チーム中 3 チームの経営責任者と情報システム部門責任者が前に出て、障害報告のロールプレイが行われた。たとえばアクションカードには「公的機関・外部機関に連絡する」などと概要しか書かれていないが、連絡先として具体的に金融庁、警察、サイバー保険会社などが挙げられた。同じイベントカードをインプットとして与えられていても、他チームから思いがけない報告があったようで、参加者からどよめきや笑いが起きた。サイバー保険会社に言及したのは１チームだけで、ここでどよめいた。また「 CEO、申し訳ありません」と情報部門責任者の謝罪から入ったチームの、リアリティを追求する姿勢には会場が沸いた。

　ロールプレイ後は山外氏による振り返りと総評が行われ、質疑応答で 1 ラウンド目が締めくくられた。参加者が質問をすると、素晴らしい質問のお礼として当日使用している物と同じ非売品のゲームキットがトレンドマイクロから贈呈される、という楽しい仕掛けがあった。多くの参加者から質問が寄せられ、ジャンケンで受け取る人が絞られた。

　さて、休憩をはさんで 2 ラウンド目である。1 ラウンド目よりもクリティカルなインシデントが想定されている。基本的には同じ流れでゲームが進められるのだが、1 ラウンド目に取ったアクションにより手持ちの資金が足りなくなると、2 ラウンド目ではコストがかかる手は打てなくなる。

　2 ラウンドあることで、ゲームに用意されているコインが制約としてうまく働く。実際に2ラウンド目で、取りたいアクションに必要な資金がない、と声を上げるチームがあった。逆に、2 ラウンド目があることを念頭に、1 ラウンド目で思い切った手が打てなかった、とぼやいている参加者もいた。

　また、2 ラウンド目のロールプレイは、トレンドマイクロ社員が扮する金融庁の担当者に対し、情報システム部門責任者が報告を行う形式で行われた。ロールプレイ中に金融庁の職員役から問われたり、ロールプレイ後に山外氏から解説がなされて、顧客対応の方法や影響を受ける顧客の範囲、経営に与える影響など、金融庁で注視しているポイントが具体的に示された。

●参加者の感想

　ワークショップ終了後の参加者の感想としては、「様々な会社の対応を知ることができた」「（普段と異なるロールを担って）他部門の対応を意識するきっかけとなった」「座学のセミナーでは難しいが、自社に戻って他の従業員と共有できる」というものがあった。さらに、セキュリティ関連のセミナーに参加するのが初めて、という参加者が複数いた。とっつきやすさ、というのもゲームを用いた模擬訓練のメリットの1つであろう。

　今回のワークショップは特別に盛り上がっている印象を筆者は受けた。初対面の参加者同士がゲームの枠組みを超えて、たとえば金融庁へ報告するタイミングや顧客へ告知するレベルを自社ではどのように定めているかなど、休憩中や終了後も議論する姿が散見された。山外氏への聞き取りによると、ボードゲームを用いたワークショップでは、通常このような光景がみられるとのことだ。ただ、金融業界はリスクに対する意識が高いので、他の業界に比べて議論が深化する傾向にある、とのことであった。

●ボードゲーム製作の目的

　トレンドマイクロ株式会社上級セキュリティエバンジェリスト染谷征良氏は、「発生したインシデントの深刻度や重要度の判断と、対応に課題を持っている企業が多いに違いない」という発想があがったのがボードゲーム開発のきっかけであったと語り、「セキュリティ製品やサービス提供の一方で、セキュリティ対策を組織的な観点で強化するための取り組みも必要と考えており、社員教育で活用できるビデオなどを含む様々な無償ツールの開発・提供、Trend Micro CTF のようなセキュリティ技術の競技会の実施といった多岐にわたる取り組みを通じ、組織全体の底上げにセキュリティ専業ベンダとして貢献していきたい（染谷氏）」と抱負を述べた。

　最期に、ゲームは、どんなゲームをどうプレイするかも大事だが、「誰と」やるかがとても重要だ。セキュリティの課題をともに共有する仕事の同僚や、協力会社などのステークホルダーと、もし今回紹介したゲームをプレイできれば、課題の共有や認識の深化にきっと役立つことだろう。