Japan
サイト内の現在位置
BOAT RACE振興会様
DX推進に欠かせないセキュリティ対策
実戦さながらの訓練でCSIRTの対応力を向上
- 業種:
-
- その他業種
- 業務:
-
- ICT管理・運用
- ソリューション・サービス:
-
- セキュリティ/セーフティ
事例の概要
課題背景
- 地方財政にも影響を与える基幹システムの安全性を、仕組み・体制の両面から強化したい
- 実際にインシデントが発生した場合に想定通り動けるか検証したい
- さらなるスキルアップのために、より厳しい状況下で追い込まれる経験を積みたい
成果
CSIRTのインシデント対応力強化に成功
「NECサイバーセキュリティ訓練場演習」を通じてCSIRTの課題を浮き彫りに。対応方針の見直し、関連ドキュメントの改修を図ってインシデント対応力を強化できた。
模擬戦でインシデント対応の難しさを痛感
脆弱な環境でリアルタイムに攻撃を受けるとどんなことが起こるのか、自分たちのどこにボトルネックがあるのかなどを肌身で感じることができた。
本気になれるリアルな演習訓練
訓練にどれほど本気になれるか、少なからず不安もあったが、参加したメンバーの疲れ切った表情などから本気度を実感。定期的に実施することを決めた。
導入ソリューション
演習用システムを挟んで受講企業の「防御チーム」とNECの「攻撃チーム」が相対し、サイバー攻撃およびインシデント発生の模擬戦を行うトレーニング。
関連資料ダウンロード
本事例に関連する導入ソリューション「NECサイバーセキュリティ訓練場演習」のご紹介資料をダウンロードいただけます。
本事例に関するお問い合わせはこちらから
事例の詳細
導入前の背景や課題
CSIRTのインシデント対応力の強化が課題
日本の公営競技の1つであるボートレース。最近は「親子で楽しめるテーマパーク」を掲げて、あそびの専門企業ボーネルンドと協働で子どもの成長を応援する施設「Mooovi(モーヴィ)」をレース場に併設するなど、さまざまな改革を進めています。
レースを開催しているのは全国の各地方自治体ですが、自治体からの委託を受けてボートレースの広報、情報システムの管理運営、広域発売の促進、ボートレース事業の運営支援を行っているのがBOAT RACE振興会です。
同会の最も重要な使命はスケジュールに沿ってトラブルなくボートレースを開催し、運営すること。その一環として重視しているのが情報セキュリティです。
「ボートレースは、収益が主催者である地方自治体の財政に繰入される上、売上の一部は日本財団を通じて公益事業に活用される社会貢献の側面が強いプロスポーツです。運営にあたっては、舟券の票数の集計やオッズの計算、投票券の発売・払戻を司るトータリゼータシステムをはじめ、さまざまなシステムを活用していますが、もしシステムが攻撃を受け、オッズが改ざんされるようなインシデントが発生したら、それは地方財政にも影響を与えることになってしまう。絶対に避けなければなりません」と同会の藤川 修一氏は言います。
トータリゼータシステムなどの基幹システムはクローズドな環境での運用を基本としている上、多層防御の考え方をベースにさまざまな対策を導入するなど、同会は継続的にセキュリティを強化しています。
また仕組みだけでなく、体制面でもCSIRT(Computer Security Incident Response Team)を設置し、外部の専門家にもオフィスに常駐してもらうなど、強固な体制を整備。「日々、攻撃は受けていますが、さまざまなセキュリティ対策や対応体制のおかげで、これまで実害に至ったケースはありません」と藤川氏は言います。
しかし、懸念もありました。インシデントを未然に防いできたこともあり「実戦経験」が足りないと感じていたのです。
「CSIRTメンバーがさらにスキルアップするには、より厳しい状況下で、追い込まれる経験が必要ではと考えていました。またインシデント発生時の対応をドキュメントにまとめたりしていますが、それが本当に機能するのか検証が足りていないとも感じていました」(藤川氏)
選択のポイント
模擬戦を通じて足りない実戦経験を補う
足りない実戦経験を補う。そのために同会が頼ったのがNECです。具体的には、NECが提供する「NECサイバーセキュリティ訓練場演習」というサービスを利用することを決めました。
NECサイバーセキュリティ訓練場演習とは、演習用システムを挟んで受講企業の「防御チーム」とNECの「攻撃チーム」が相対し、サイバー攻撃およびインシデント発生の模擬戦を行うトレーニングサービス。防御チームには、NECの講師も寄り添い、状況に応じてアドバイスや気付きを与えていきます。
「テキストをベースにした座学ではなく、模擬戦を繰り広げ、実戦経験を提供してくれる。まさに私たちが求めているトレーニングサービスだと感じました。もともとCSIRTにはNECから人員を派遣してもらっていることもあり、NECなら私たちに足りないもの、補完すべきスキルを理解して、適切にサポートしてくれるという期待もありました」と藤川氏は言います。
導入後の成果
メンバー間の連携、報告手順など弱い部分が明確に
演習にはCSIRTのメンバーやシステムの運用管理者などが参加。演習は、NEC攻撃チームからの攻撃によるインシデント発生、初動対応、振り返りというステップで進みました。
具体的に参加メンバーからは、以下のような感想があったといいます。
「悪質な攻撃がどのような手順で攻撃を行ってくるのかを間近に見ることができた」
「手詰まりになってしまったらヒントをくれたり、私たちのどこが弱いかを見極めたり、進行役となるNEC講師が適切な距離で演習を導いてくれた」
「インシデントが起こったら、まず誰が原因究明を行い、誰が影響範囲の把握を行うかなど、CSIRTは対応プロセスをドキュメントにまとめていた。しかし、模擬とはいえ実際のインシデントを前にすると、これらを迅速に対応することができなかった。特にメンバー間の連携、上級職員への報告については見直しが必要ということを強く感じた」
これらの気付きのもと、現在、同会はCSIRTのインシデント対応プロセスを見直したり、関連ドキュメントを改修したりしています。
「演習を終えた参加メンバーの多くが最初に発したのが『とにかく疲れた』という言葉でした。あくまでも訓練ですから、どれほど本気になれるかという不安も少なからずありました。しかし、疲れ切った表情や声を聞いて訓練の成果を実感。すぐに定期的に実施することを決めました」と藤川氏は言います。
今後もBOAT RACE振興会は仕組みと体制の両面からセキュリティ強化を推進。ボートレースの安定開催を通じて社会への貢献を果たしていく構えです。
NEC担当スタッフの声
DX推進にはセキュリティの視点も重要
NECサイバーセキュリティ訓練場演習は、もともとNECの内部で中核技術者の育成のために通年実施している演習です。サイバー攻撃被害とインシデント対応を実際に体験し、対応が適切だったかを丁寧に振り返る方法が大きな成果につながっていたことから、お客様にも提供することを決めた経緯があります。
NECサイバーセキュリティ訓練場演習が重視している考え方が「Security By Design」です。
これは、システムの企画・設計のフェーズからセキュリティ対策を組み込んでおくこと。多くの企業がDXに取り組む中、セキュリティの視点が欠けたDXは非常に危ういと考えています。
次回はより具体的な攻撃を想定した演習を実施してほしいとBOAT RACE振興会様からご要望をいただいています。その期待に応えられるよう、気を引き締めて次回の準備を進めていく構えです。
お客様プロフィール
一般財団法人 BOATRACE振興会
設立年月日 | 1990年5月11日 |
---|---|
所在地 | 東京都港区六本木5-16-7 BOATRACE六本木 |
役職員数 | 94名(2022年8月1日時点) |
基本財産 | 60億5千万 |
概要 | 公営競技であるボートレースにおいて、広報、情報システムの管理運営、広域発売の促進、ボートレース事業の運営支援を担う。 |
URL | https://www.boatrace-pr.jp/sp/site/ |
この事例の製品・ソリューション
関連資料ダウンロード
本事例に関連する導入ソリューション「NECサイバーセキュリティ訓練場演習」のご紹介資料をダウンロードいただけます。
本事例に関するお問い合わせはこちらから
(2022年9月29日)
関連事例
資料ダウンロード・お問い合わせ