「Cybercans:情報セキュリティ人生物語 」を社員でプレイしてみました!
みなさん、こんにちは!
2月1日~本日3月18日は「サイバーセキュリティ月間」ということで、改めてサイバーセキュリティに対する関心を高めてもらおう、と画策中の福岡です。
今回は、「ゲームを通してセキュリティを学んでみた企画」の第二弾!ということで、CyCraft社さんの「Cybercans:情報セキュリティ人生物語」というボードゲームを、エムオーテックス(MOTEX)のメンバーでプレイしてみました。
「Cybercans」はサイバーセキュリティを題材としたボードゲームで、最大6人で対戦することができます。誰でも気軽にセキュリティを学べる楽しいコンテンツなので、皆さまにもゲームの内容を共有していきます!
関連情報|【CyCraft Japan】本日開催!CODE BLUE に登壇情報及びイベントのご案内
↑ CyCraft Japanプレスリリースに本ゲームの紹介が掲載されています!
Cybercans:情報セキュリティ人生物語 とは?
Cybercansは、すごろく型式で展開する「サイバーセキュリティ」がテーマのボードゲームです。サイバー攻撃を受けたり、インシデントに巻き込まれたりしながら、最終的により多くの資金を守り抜いたプレイヤーが勝者となります。
以前noteには、IPA(情報処理推進機構)が考案したボードゲーム「Cyber Attacker Placement」をご紹介しましたが、Cyber Attacker Placementでは、プレイヤーは「攻撃者の視点」でターゲットの企業へと攻撃を仕掛け、いかに侵入できるかを競い合いました。
(前回のIPA「Cyber Attacker Placement」の様子はこちら!)
一方、今回プレイした「Cybercans」では、プレイヤーは「守り手の視点(企業・組織の情報セキュリティ担当者)」に立ち、セキュリティソリューションを駆使して、数々の脅威から資産を守り抜きます。
攻撃する側か、守る側か、ゲームによって視点が変わるのは興味深く、勉強になりますね!
ということで、いざ実戦!
改めて、今回Cybercansをプレイする目的は、以下の通りです。
組織としてのセキュリティ防御を確立する方法を学ぶ
Cyber Defense Matrix(CDM)の概念を踏まえて、適切な防御設備を学ぶ
── はい。ここで皆さん思いましたよね?「Cyber Defense Matrix」ってなに…?と。
Cyber Defense Matrixを説明する前に、前提として持っておきたいセキュリティ知識として「セキュリティ対策に関するフレームワーク」についてお話します。
「NISTサイバーセキュリティフレームワーク」とは?
セキュリティ対策に関するフレームワークの1つに、NIST(米国国立標準研究所)が提唱している「NISTサイバーセキュリティフレームワーク」があります。
このフレームワークは、サイバーセキュリティ対策を5つの領域に分け、それぞれ 識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)と定義しています。
この5つの「防御領域」に加え、守るべき資産も「機器」「アプリケーション」「ネットワーク」「データ」「ユーザ」の5つに分類し、かけ合わせた以下のような枠組みを「Cyber Defense Matrix」といいます。
「Cyber Defense Matrix」は、より適切なセキュリティ製品の導入を促進するための指標として用いられます。本ゲームでは、フレームワークの概念とこの「Cyber Defense Matrix」の考え方を用いて進行します。
(──こうお伝えすると「なんとなく難しそう」な印象を与えてしまうかもしれませんが、ゲームは説明書に沿ってプレイすれば、サイバーセキュリティの知識が無い方でも、楽しめる仕様となっていますのでご安心を!
それでは、次章からのプレイレポートもお付き合いください!)
実際にCybercansを、MOTEXの社員達がプレイしてみました!
とある日の終業後、サイバーセキュリティに従事するMOTEXの(アフター5はワイワイ飲みたい!がメイン!?……な)大人たちが集い、Cybercansでゲーム大会を行いました。
まずは、景気づけの乾杯を!
エムオーテックス(MOTEX)のマスコットキャラクターである、(セキュリティの会社なので)組織を守る番猫「バンニャ」に見守られながら、ゲームを開封します。Cybercansのコンポーネント(駒やカードなど)は、どれもしっかりした造りでした。
せっかくなので、今回はゲームの駒にも「バンニャ」を使用していきます。
開始時、各プレイヤーには$30,000が支給され、中央に並べられた5枚の札の中から、防御カード(青)を購入します。これらの防御カードを駆使して、このあと待ち受けるサイバー攻撃から、自分の手持ち資金をより多く守ることができたプレイヤーが勝者です。
プレイヤーはサイコロを投げ、各マス目に記載されたイベントをこなしながら、ゴールを目指します。
ゲームでは、以下のような4種類のカードが登場します。
① 攻撃カード:攻撃カードを一枚引き、プレイヤーは攻撃を受けます。攻撃を受けると資金の支払いが必要となるため、手持ちの防御カードで攻撃を防ぎます。
(実際のサイバー攻撃でも、ひとたび攻撃を受ければ、ランサムウェアといって盗まれたデータを人質に身代金を要求される被害にあったり、システム停止による事業ストップや情報漏洩による信用失墜などで、企業に多額の損失が出たりします。)
② 防御カード:中央でオープンになった防御カードより、一枚購入できます。購入権を放棄することもできます。
(実際の世界では、防御カード=セキュリティ製品ですね! 例えば、下記の札に書かれている「EDR」は、PCやスマホといった端末(エンドポイント)に侵入したウイルスなどの脅威を、速やかに検知・対応するためのセキュリティ製品です。)
③ ニュースカード:ニュースカードを一枚引き、指示に従います。サイバーセキュリティに関する、世間的に重大なニュースの内容が記載されています。
④ インシデントカード:インシデントカードを一枚引き、指示に従います。セキュリティインシデントが発生した様子が書かれています。
(余談ですが、インシデントカードはどれもキャッチコピーが面白いです)
防御カードを使って、攻撃カードを防ぐ考え方
ゲームを進める上で重要となるのが、「攻撃カード」と「防御カード」の関係性です。
▼攻撃カード
まず、攻撃カードには、右上に攻撃対象となる「資産」が書かれています。上記の札の場合、攻撃名が「WannaCry ランサムウェア」、攻撃対象の資産は「Date(データ)」となっており、「WannaCry」というランサムウェアが、5種の資産のうち「データ」を狙った攻撃であることを意味しています。
また、カード下部には、NISTのサイバーセキュリティフレームワークである5つの防御段階(特定『Identify』 、防御『Protect』 、検知『Detect』 、対応『Respond』 、復旧『Recover』 )と、各段階で発生する損失額が書かれています。
次に、防御カードを見てみましょう。
▼防御カード
防御カードでは、カード下部の左側に資産の種類、右側に防御段階が書かれています。(上記の札の場合、この防御カードで守ることができる資産は「機器(Devices)」と「アプリケーション(Applications)」、防御段階は「検知」と「対応」です。)
このカードの場合、「EDR」と呼ばれる検知技術になるので、機器・アプリケーションという資産において、検知・対応の段階で、防御できることを意味しています。
さて、プレイヤーは、すごろくで「攻撃」のマス目に止まってしまった場合、攻撃カードの山札を引き、出たカードの攻撃を受けることになります。このとき、手持ちにある防御カードによって攻撃を緩和しますが、防御カードに記載された「防御できる資産(機器、アプリケーションなど)」が攻撃対象と同じであれば、防御を試みることができます。
そして、このときサイコロを振って出た目が攻撃の強さとなり、防御カードの右上の数字(防御力)のほうが大きければ、防御成功です。
例えば上記の場合、赤い攻撃カード(左)の対象資産「Date(データ)」に、青い防御カード(右)が対応している。そして、防御カードの数字は「4」のため、 サイコロを振って4以下であれば防御成功、5以上であれば攻撃のほうが勝って防御失敗、となります。
また、「防御に成功すれば資産を失わない」わけではなく、あくまで防御できた段階に応じて、失う資産が軽減される、という考え方となります。
(この部分のルールが少し難解なのですが、実際の世界で攻撃を受けた場合でも、その影響度によってコストがかかるものなので、かなり現実に即したシビアなゲームになってます。。。)
例えば上記の場合、防御カードを用いて「検知(Detect)」の段階で防御に成功すると、「検知」の手前の段階である「防御(Protect)」までは攻撃がすり抜けていた、となります。
よって、プレイヤーは防御に成功した場合でも、「防御(Protect)」に記載されている金額である$1,000は支払う必要があるというわけです。
もし、「検知(Detect)」の段階で防御に失敗した場合は、次の段階である「対応(Respond)」や「復旧(Recover)」に、攻撃段階が進んでしまいます。次の段階に対応できる防御カードが手持ちにあれば、サイコロを振って再度防御を試みることができます。
対応できる防御カードが手持ちにない、あるいはすべての段階で防御に失敗した場合、最後の段階「復旧」に書かれた$4,500を支払わなければなりません。
このように、サイバー攻撃から防御カードで資産を守りつつ、全プレイヤーが4周したところでゲームは終了となります。すごろくの各マスには攻撃・防御に関するお題以外にも、「中間決算」や「中小企業への補助金」といった、プレイヤーの資金がなくならないための救済イベントも設置されていました。
(実際の企業・組織でも、経営層が「セキュリティ強化が必要」だと判断すればセキュリティにかけられる予算が増えますし、セキュリティ対策強化に使える補助金制度も存在します。)
それでも、攻撃を受け過ぎたり、逆に防御カード(セキュリティ製品)を買い過ぎたりすると、あっという間に資金が底を尽きます。
実際、私は何度も途中で資金が無くなり、ゲームを継続できない状況が多発。その度に、他のプレイヤーの方から融資を受けていました…。(何も言わず、サッとお金を出してくださる姿、さすがです。笑)
また、ゲームが1周目を終えるタイミングでは「防御機器の更新費用」が発生するなど、リアリティある設定も。手持ちの防御カード ✕ $1,000の更新費用を支払うか、あるいは防御カードを放棄する、という選択を迫られました。
Cybercansをプレイした参加者の感想は?
最後に、今回Cybercansをプレイした感想(?)について、参加者の皆様に聞いてみました。
Q. ゲームをさらに楽しむため、カスタマイズをするなら?
多層防御の重要性を理解するために、試合経過中にいろいろ作戦を書き込めるよう、Cyber Defense Matrixの表を拡大コピーして手元に置いておく
コマを我が社のバンニャにするのは最高!(いろんな色の子が居るし…)
気軽に楽しめる競技時間としては、ゲームは2周くらいが丁度良さそうなので、2周目は攻撃を受けた際の損失額を2倍にするなど、ルールを工夫してみる
最後に結果(手元に残った資金)を集計する際に、防御カードも清算して「資産」に含めては?
破産者が続出したので、初期予算を$30,000→$50,000にする。あるいは、「破産」したら「記者会見」というイベントを設け、実際のセキュリティ事故時の企業の「記者会見」のように現状報告と質疑を実施。「記者会見」を終えたら、$10,000の保険(サイバー保険)がおりて、ゲームを再開できるといったルールを加えることで、よりリアルな実情への理解が進むのでは?
プレイヤーが淡々と防御に徹するのも味気ないので、あらかじめ対策方針を宣言しておく
(プレイヤーA「私は、エンドポイントを中心とした事前防御を徹底します!」)
(プレイヤーB「例え事業が傾いてもセキュリティ最優先で投資します!」)
(プレイヤーC「最小限の投資で利益は確保しまくります!」)
Q. セキュリティ初心者もより理解しやすいよう工夫するなら?
ゲーム開始前に下記をレクチャーする
→ NISTサイバーセキュリティフレームワークの説明(検知や対応、復旧などの流れの説明)
→ 防御する資産の説明(データやユーザ、デバイス、ネットワークなどの関係)
→ 昨今世間を騒がせている、すごく代表的な攻撃(StuxnetやWannaCry、Emotetなど)
攻撃と防御の対応表などがあると、関連付けて覚えられるのでは?
セキュリティに理解のある社員や情シス、CSIRTの皆さんに参加いただいたので、純粋なプレイの感想というより、「さらにゲームを楽しむための意見」が活発に挙がりました(笑)
今回プレイした「Cybercans:情報セキュリティ人生物語」は、誰でも気軽に楽しみながら、サイバーセキュリティへの理解を深められるボードゲームです。社内のセキュリティ研修などで、従業員にセキュリティに対する関心を持ってもらうために活用するのも良いかもしれません。
ゲームは、2024年3月時点ではオンラインなどでは販売されておらず、イベントなどで購入できるようです。(MOTEXは日本シーサート協議会さんのイベント時に入手しました。)
純粋にボードゲームが楽しみたい方はもちろん、サイバーセキュリティの考え方を学びたい方も、ぜひプレイされてみてはいかがでしょうか?
