報告書番号

R09003

タイトル（和文）

情報セキュリティインシデントに対する対応訓練用シミュレータの開発

タイトル（英文）

Development of Simulator for Information Security Incident Response Training

概要 （図表や脚注は「報告書全文」に掲載しております）

情報セキュリティの確保には迅速なインシデント対応が必要であり，そのためには，対応要員の調査・分析スキルと実機操作の訓練が重要となる。そこで，要員の調査・分析スキル向上を目的としたインシデント対訓練を可能とするシミュレータを開発した。本シミュレータは，1台のPCで稼働するサーバとWeb経由でそこにアクセスするクライアントから構成され，訓練シナリオに基づいてシステムの挙動を限定的に模擬し，① 攻撃，② インシデントの監視・検知，③ インシデントの調査・分析，④ 暫定対応を行うことができる。実機を用いたインシデント対応訓練の過去の記録と比較した結果，16件中13件で，検知・調査とインシデント分析の材料となる情報取得が再現でき，残り3件においても，調査の一部を除いて分析に必要な情報を得ることができた。本シミュレータを用いることで，インシデントの調査・分析スキルの向上を目的としたインシデント対応訓練を容易に実施できると考えられる。

概要 （英文）

A rapid incident response is necessary for information security of enterprise IT system, and is supported by operators' skills on incident investigation and analysis. Therefore, we have developed a simulator for incident response training with lower cost.
The simulator consists of (a) a server that simulates limited behavior of a user-defined IT system directed by a training scenario and (b) clients that provide various monitoring/operation interfaces of the system on web browsers. When the system is attacked by a trainer, trainees can detect, investigate and analyze incidents in order to select suitable action. Comparing with 16 training records against different attacks on a real IT system, the simulator could provide the same operational measures and information in each of detection, investigation and analysis phase of 13 records. In the rest of records, some investigation measures were not implemented, but the simulator could provide sufficient information for abduction of the cause and counter-measure of incidents.

報告者

キーワード