メディア
連載
» 2018年04月18日 10時00分 公開

サイバー防衛演習自動化システム「CYDERANGE」とは?5分で分かる最新キーワード解説(5/6 ページ)

[土肥正弘,ドキュメント工房]

「CYDER」が他のサイバー防御演習と異なる点は?

 民間のセキュリティベンダーなどがサービスとして提供しているサイバー防御演習と違い、NICTが保有する北陸StarBED技術センター内の大規模サーバ群に構築した現実のシステムに近い演習用仮想環境でサイバー攻撃に対する初動対応を実践的に演習できるところが何よりの特徴だ。

 官公庁システムであれ、民間企業システムであれ、現実に稼働中のシステムを利用してサイバー防御演習を行うには、業務影響を避けるために限定的なシナリオにせざるを得ないし、仮想的な演習用環境構築がたとえ可能でも、大規模システムを模倣するにはコスト、時間、人的リソースの各面で困難がある。

 インターネット接続するシステムがほとんどであるため、演習の影響が外部に及ぶのを避けることにも配慮の必要がある。そのため現実的にどうしても実施内容は限定的になってしまう場合が多いだろう。

 CYDERでは国の予算を使って構築された、外部ネットワークとは隔離されて安全性の高いNICTのインフラをシェアリングすることになる。受講者側ではインフラコストを負担する必要がない。2018年度から場合によって必要になる費用は、インフラコストに上乗せされる演習シナリオ(およびそれに対応する環境変更)最適化にかかわる、いわば「カスタマイズ」費用である。しかも8万円+税という費用負担設定は、民間一般企業にとってむしろトレーニング実施のハードルを大きく下げたものといえるだろう。

 ナショナルサイバートレーニングセンターの井田俊輔副センター長によると「CYDERは外部のセキュリティベンダー任せでは対応できない初動対応に特化した、ユーザー組織のセキュリティオペレーター育成のためのもの。2020年には19.3万人が不足するといわれているセキュリティ人材を育成する一歩になるが、2018年度の演習提供はひとまずの目標として年間3000人程度にとどめている。民間ベンダーが提供する、より本格的で長期間の人材育成サービスへの橋渡しとなることを望んでいる」とのことだ。

 CYDERは初級から中級までのセキュリティオペレーター(CSIRTアシスタントからメンバーのレベル)までが対象だが、同センターでは他に2020年東京オリンピック/パラリンピックに向けたデータ解析者レベルまでをカバーする実践的サイバー演習「サイバーコロッセオ」および25歳以下の若手人材を対象にした最高レベルのセキュリティイノベーター育成プログラム「SecHack365」も実施している。

 企業規模や業種業界を問わずサイバー攻撃対応体制整備は喫緊の課題。2018年度から業種が重要インフラに関わるか否かを問わず、また規模も問わず、一般企業が受講できるようになったCYDERは、体制整備の重要な一助になることだろう。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。