Tabletop exercises look a little different this year

--- > [!NOTE] 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- > [!NOTE] リスト掲載用文字列 - [Tabletop exercises look a little different this year](https://www.theregister.com/2025/12/26/end_of_year_tabletop_exercises/)【The Register】(2025年12月27日) --- > [!NOTE] この記事の要約（箇条書き） - サイバーセキュリティの机上演習は、組織の回復力とインシデント対応能力を高めるために不可欠です。 - 今年は、攻撃側と防御側の両方でAIの速度が考慮される必要があり、攻撃者はAIを使って脆弱性悪用、高度なフィッシング、偵察、データ窃盗を加速しています。 - 演習は、AIを活用した攻撃や、AIシステム自体を標的とするシナリオ（LLM漏洩、不適切なデータアクセスなど）をシミュレートすべきです。 - AIは演習シナリオの作成や結果の測定にも活用できます。 - ディープフェイクなどのAI脅威に対しては、アナログ的な対策（帯域外認証、オフラインデータ利用）のテストが重要です。 - FBIやCISAなどの外部機関との連携も推奨されます。 - 演習は少なくとも年に1～2回実施し、経営幹部、技術担当者、法務、広報など、参加者の役割とシナリオの性質に合わせてカスタマイズする必要があります。 - 実際のインシデントに備え、常に交代要員を含めることが重要です。 > [!NOTE] 要約おわり --- 今は、企業のセキュリティ責任者が机上演習を実施し、仮想的なサイバー攻撃やその他の緊急事態をシミュレートし、インシデント対応プロセスを実行し、デジタル災害が発生した場合に備えて対応を練習する、一年で最も素晴らしい時期です。「最終的に、組織がどれだけの回復力を持っているかを試しているのです」と、パロアルトネットワークスの最高セキュリティインテリジェンス責任者であるウェンディ・ホイットモア氏は *The Register紙* のインタビューで述べた。「重要なのは、攻撃を受けるかどうかではなく、どれだけ迅速に対応し、攻撃を封じ込められるかなのです。」そして今年、組織は、 [攻撃者がこれらのツールを使用し](https://www.theregister.com/2025/04/29/fbi_china_ai/) てバグを見つけて悪用する方法と、防御側が [対応に AI を使用する](https://www.theregister.com/2025/10/27/jen_easterly_ai_cybersecurity/) 方法の両方の観点から、AI の速度を考慮する必要があります。「脅威アクターは [AIを活用してCVEを悪用する割合が増加しています](https://www.theregister.com/2025/12/22/zafran_security_ceo/) 」と、Google CloudのCISOオフィスの公共部門アドバイザーであるエンリケ・アルバレス氏は *The Register* に語った。「机上演習では、企業が使用しているソフトウェアシステムに影響を与えるCVEが公開され、サイバー攻撃者が即座に悪用できるというシナリオを検討する必要があります。」ホイットモア氏は、脅威アナリストらは脆弱性が解消され、5分以内に攻撃が試みられると見ていると述べた。「防御側、つまり当社の SOC では、1 日に 900 億件の攻撃イベントが発生しており、これらを相関性のある 26,000 件にまとめることができます。さらに、1 日に 1 件、第 3 層のアナリストによる手動介入が必要となり、追加のクエリと分析を実行しています」と彼女は付け加えた。実際、2025 年に私たちが学んだことがあるとすれば、それは [犯罪者](https://www.theregister.com/2025/11/05/attackers_experiment_with_gemini_ai/) や [国家の支援を受けた脅威の主体が](https://www.theregister.com/2025/11/13/chinese_spies_claude_attacks/) [AI を武器として](https://www.theregister.com/2025/11/25/wormgpt_4_evil_ai_lifetime_cost_220_dollars/) ますます追加している一方で、企業の AI 利用によって [攻撃対象領域が](https://www.theregister.com/2025/10/09/zenity_ai_agent_security_summit_recap/) 大幅に拡大しているということです。攻撃者側から見ると、これはより標的を絞り込んだ、 [説得力のあるフィッシングメール](https://www.theregister.com/2025/10/16/ai_makes_phishing_45x_more_effective/) 、脆弱性の [偵察とスキャンの高速化、そして](https://www.theregister.com/2025/09/03/ransomware_ai_abuse/) [迅速にスキャンして盗み出すことができる大量の機密データを意味します。一方、防御側は](https://www.theregister.com/2025/10/28/ai_browsers_prompt_injection/) [、LLMが漏洩していないこと](https://www.theregister.com/2025/11/11/llm_sidechannel_attack_microsoft_researcher/) 、そしてAIエージェントがアクセスすべきでない [データにアクセスして](https://www.theregister.com/2025/12/08/gartner_recommends_ai_browser_ban/) いないことを確認する必要があります。 *規制当局は、* AI によって生成された攻撃や AI 支援による攻撃の増加に直面することから、年末の卓上演習でのベストプラクティスについて意見を述べ、社内の AI システムとモデルを保護するための対策を講じるよう、複数のインシデント対応者に依頼しました。 > 机上演習では、2つの現実を反映させる必要がある。攻撃者はAIを使ってより速く、より静かに、そして大規模に行動し、攻撃者は私たちが導入するAIシステムを標的にしている。「机上演習は今、2つの現実を反映する必要がある。攻撃者はAIを使ってより速く、より静かに、そして大規模に行動し、攻撃者は私たちが導入しているAIシステムを標的にしている」と、マイクロソフトの脅威対策研究担当副社長タンメイ・ガナチャリヤ氏は *The Register* に語った。「最良の演習は、適応型のAIを活用したフィッシング攻撃や、急速に変化する攻撃チェーンをシミュレートするとともに、AIシステムを標的とした迅速なインジェクション、設定ミス、AIによるデータ窃盗といったシナリオにもチームを準備させるものです」とガナチャリヤ氏は述べた。「目標は、より迅速な意思決定をリハーサルし、信頼性の低い環境で情報を検証し、AIがキルチェーンの各段階をどのように変化させるかをチームに理解させることです。」最終的に、これらの演習の目標は、経営幹部と技術対応者の両方に何が起こるかについて教育し、改善の余地を特定しながらさまざまなセキュリティシナリオへの対応を練習することです。「身に覚えのある知識を身につけ、適切なプロセスを確立し、そのプロセスに従って実行できるようにすることが重要であると同時に、教育も重要です」と、ガイドポイントのセキュリティ部門でデジタルフォレンジック、インシデント対応、脅威インテリジェンス担当副社長を務めるマーク・ランス氏は *The Register紙* に語った。「例えば、ランサムウェアについて学んだ上級管理職チームは、たいてい『ランサムウェアについて、そしてそれに伴う潜在的なリスクや脅威について、より深く理解できた』という感想を抱くようになります。」 ### AIを使ってAIと戦う Google CloudのCISOオフィスでヘルスケアおよびライフサイエンス企業向けセキュリティアドバイザーを務めるビル・リード氏は、AI関連の脅威の急増に組織が対応できる方法の一つとして、AIを活用してシナリオを構築することを挙げた。「AIの偽物をテストしたいですか？偽物を作って、机上演習で使ってみてください」とリード氏は *The Register紙* に語った。企業はAIを演習の開発に使うだけでなく、「演習と成果を測定し、促進する」ためにも使うべきだと、CISOのヘルスケアおよびライフサイエンス部門のGoogle Cloud Officeディレクター、テイラー・レーマン氏は述べた。「脅威、管理、脆弱性、あらゆる種類の資産、主要なリスク、利害関係者、顧客のペルソナなど、環境に関する情報をAIシステムに公開すると、AIシステムは非常に有意義で具体的かつ現実的なシナリオを作成するのを手伝ってくれます。これにより、シナリオを洗練させ、演習の一環として望む特定の種類の結果を実現できるようになります」とリーマン氏は *The Register* に語った。アルバレス氏によると、他の比較的新しいAIの脅威には [ディープフェイク](https://www.theregister.com/2025/09/23/gartner_ai_attack/) があり、これは特にGoogle Cloudの金融サービス顧客に影響を与えるという。そのため、金融業界の多くの組織は、音声と動画の両方のディープフェイクをシナリオに組み込んでいる、あるいは組み込むべきだ。「しかし、AIを利用した攻撃はディープフェイクだけに限ったものではありません」と、マンディアント・コンサルティングのディレクター、デビッド・ウォン氏は述べた。「AIは攻撃ライフサイクルの各段階でも利用され、攻撃の量と速度を増加させます。机上演習の設計者は、シナリオの速度と量に適応する必要があります。」 > ディープフェイクのCEOが送金を要求する場合、訓練は検出ソフトウェアではなく、通常の電話通話による帯域外認証の強制を厳密にテストするべきである。 [アルバレス氏はまた、地元のFBI支局](https://www.fbi.gov/contact-us/field-offices) に連絡を取り、サイバー特別捜査官（ASAC）に捜査員を派遣できるかどうか問い合わせることも提案している。「これは、今後の参考資料や連絡のために、支局に連絡窓口を設ける良い方法です」とアルバレス氏は述べ、経営幹部、取締役、その他の社内関係者を含む本格的な演習の場合は、 [CISAに](https://www.cisa.gov/about/contact-us) も参加を依頼することを検討すべきだと付け加えた。米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) も、さまざまな脅威シナリオを網羅した独自の演習を企業が実施できるように設計された [無料リソースをいくつか提供しています。](https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages) Google CloudオフィスのCISOシニアコンサルタント、アントン・チュヴァキン氏は、「AIにAIで対抗する」という点ではアナログ、そして慎重さを主張した。「机上演習では、アナログ的な摩擦を誘発して敵のスピードを遅らせることに焦点を当てるべきです」と、同氏は *The Register紙* に語った。「ディープフェイクのCEOが送金を要求してきた場合、演習は検出ソフトウェアではなく、通常の電話による帯域外認証の強制を厳密にテストするべきです。」さらに、オンラインファイルだけに頼ってはいけない、と彼は付け加えた。「演習では、オフラインのゴールデンコピーデータと、アルゴリズムが偽装できない堅牢な承認プロセスを活用し、最小限の実行可能な業務オペレーションへの回帰を訓練する必要があります」とチュバキン氏は述べた。「画面に表示される内容を信頼できない場合、最も強力な防御策は実際にはテクノロジーではなくプロセスなのです。」 ### 誰が参加すべきでしょうか? *The Reg が* 話を聞いた専門家全員が、少なくとも 1 年に 1 回か 2 回のテーブルトップ演習を実施し、これらの演習を特定の対象者に合わせてカスタマイズし、たとえば経営幹部と技術対応者を分けることを推奨しました。「FBIでの経験から言うと、ほとんどの企業は机上演習を一度も実施したことがない」とアルバレス氏は述べた。「良い出発点、あるいは目標としては、少なくとも年に2回、2回目の机上演習で1回目の演習から得た教訓を活かすようにするのが良いだろう。」ガナチャリヤ氏によると、参加はシナリオに応じて変わるべきであり、「AIを活用した攻撃には経営幹部レベルの決定が必要となるため、経営幹部は少なくとも半年に一度は参加する必要がある」という。新しいランサムウェア手順の試験などの技術的な訓練では、セキュリティオペレーションセンター (SOC) とインシデント対応チームのみが必要となる場合がありますが、内部者による漏洩や風評リスクなどの影響の大きいシナリオでは、法務、広報、人事、上級管理職も参加させる必要があります。ガナチャリヤ氏によると、他の運用責任者には、より頻繁な、対象を絞ったシナリオを用いた演習が必要となる可能性がある。これには、副責任者、部長、SOCリーダーなど、経営陣が日常業務の遂行に頼る人材が含まれる。そして、いつものように、マーフィーの法則を忘れないでください。ガナチャリヤはこう言っています。「すべての訓練には交代要員を含めるべきです。なぜなら、第一選択の対応者が対応できるときに、実際の事故が起こることは稀だからです。」® × ### Narrower topics - [2FA](https://www.theregister.com/Tag/2FA/) - [Active Directory](https://www.theregister.com/Tag/Active%20Directory/) - [Advanced persistent threat](https://www.theregister.com/Tag/Advanced%20persistent%20threat/) - [Android](https://www.theregister.com/Tag/Android/) - [Application Delivery Controller](https://www.theregister.com/Tag/Application%20Delivery%20Controller/) - [App stores](https://www.theregister.com/Tag/App%20stores/) - [Authentication](https://www.theregister.com/Tag/Authentication/) - [Azure](https://www.theregister.com/Tag/Azure/) - [BEC](https://www.theregister.com/Tag/BEC/) - [Bing](https://www.theregister.com/Tag/Bing/) - [Black Hat](https://www.theregister.com/Tag/Black%20Hat/) - [BSides](https://www.theregister.com/Tag/BSides/) - [BSoD](https://www.theregister.com/Tag/BSoD/) - [Bug Bounty](https://www.theregister.com/Tag/Bug%20Bounty/) - [Center for Internet Security](https://www.theregister.com/Tag/Center%20for%20Internet%20Security/) - [CHERI](https://www.theregister.com/Tag/CHERI/) - [Chrome](https://www.theregister.com/Tag/Chrome/) - [Chromium](https://www.theregister.com/Tag/Chromium/Web%20Browser/ "Disambiguation: Web Browser") - [Common Vulnerability Scoring System](https://www.theregister.com/Tag/Common%20Vulnerability%20Scoring%20System/) - [Cybercrime](https://www.theregister.com/Tag/Cybercrime/) - [Cybersecurity](https://www.theregister.com/Tag/Cybersecurity/) - [Cybersecurity and Infrastructure Security Agency](https://www.theregister.com/Tag/Cybersecurity%20and%20Infrastructure%20Security%20Agency/) - [Cybersecurity Information Sharing Act](https://www.theregister.com/Tag/Cybersecurity%20Information%20Sharing%20Act/) - [Data Breach](https://www.theregister.com/Tag/Data%20Breach/) - [Data Protection](https://www.theregister.com/Tag/Data%20Protection/) - [Data Theft](https://www.theregister.com/Tag/Data%20Theft/) - [DDoS](https://www.theregister.com/Tag/DDoS/) - [DEF CON](https://www.theregister.com/Tag/DEF%20CON/) - [Digital certificate](https://www.theregister.com/Tag/Digital%20certificate/) - [Encryption](https://www.theregister.com/Tag/Encryption/) - [End Point Protection](https://www.theregister.com/Tag/End%20Point%20Protection/) - [Excel](https://www.theregister.com/Tag/Excel/) - [Exchange Server](https://www.theregister.com/Tag/Exchange%20Server/) - [Exploit](https://www.theregister.com/Tag/Exploit/) - [Firewall](https://www.theregister.com/Tag/Firewall/) - [Gemini](https://www.theregister.com/Tag/Gemini/) - [Google AI](https://www.theregister.com/Tag/Google%20AI/) - [Google Cloud Platform](https://www.theregister.com/Tag/Google%20Cloud%20Platform/) - [Google I/O](https://www.theregister.com/Tag/Google%20I%2FO/) - [Google Nest](https://www.theregister.com/Tag/Google%20Nest/) - [Google Project Zero](https://www.theregister.com/Tag/Google%20Project%20Zero/) - [G Suite](https://www.theregister.com/Tag/G%20Suite/) - [Hacker](https://www.theregister.com/Tag/Hacker/) - [Hacking](https://www.theregister.com/Tag/Hacking/) - [Hacktivism](https://www.theregister.com/Tag/Hacktivism/) - [HoloLens](https://www.theregister.com/Tag/HoloLens/) - [Identity Theft](https://www.theregister.com/Tag/Identity%20Theft/) - [Incident response](https://www.theregister.com/Tag/Incident%20response/) - [Infosec](https://www.theregister.com/Tag/Infosec/) - [Infrastructure Security](https://www.theregister.com/Tag/Infrastructure%20Security/) - [Internet Explorer](https://www.theregister.com/Tag/Internet%20Explorer/) - [Kenna Security](https://www.theregister.com/Tag/Kenna%20Security/) - [Kubernetes](https://www.theregister.com/Tag/Kubernetes/) - [LinkedIn](https://www.theregister.com/Tag/LinkedIn/) - [Microsoft 365](https://www.theregister.com/Tag/Microsoft%20365/) - [Microsoft Build](https://www.theregister.com/Tag/Microsoft%20Build/) - [Microsoft Edge](https://www.theregister.com/Tag/Microsoft%20Edge/) - [Microsoft Fabric](https://www.theregister.com/Tag/Microsoft%20Fabric/) - [Microsoft Ignite](https://www.theregister.com/Tag/Microsoft%20Ignite/) - [Microsoft Office](https://www.theregister.com/Tag/Microsoft%20Office/) - [Microsoft Surface](https://www.theregister.com/Tag/Microsoft%20Surface/) - [Microsoft Teams](https://www.theregister.com/Tag/Microsoft%20Teams/) - [NCSAM](https://www.theregister.com/Tag/NCSAM/) - [NCSC](https://www.theregister.com/Tag/NCSC/) - [.NET](https://www.theregister.com/Tag/.NET/) - [Office 365](https://www.theregister.com/Tag/Office%20365/) - [OS/2](https://www.theregister.com/Tag/OS%2F2/) - [Outlook](https://www.theregister.com/Tag/Outlook/) - [Palo Alto Networks](https://www.theregister.com/Tag/Palo%20Alto%20Networks/) - [Password](https://www.theregister.com/Tag/Password/) - [Patch Tuesday](https://www.theregister.com/Tag/Patch%20Tuesday/) - [Personally Identifiable Information](https://www.theregister.com/Tag/Personally%20Identifiable%20Information/) - [Phishing](https://www.theregister.com/Tag/Phishing/) - [Pixel](https://www.theregister.com/Tag/Pixel/) - [Pluton](https://www.theregister.com/Tag/Pluton/) - [Privacy Sandbox](https://www.theregister.com/Tag/Privacy%20Sandbox/) - [Quantum key distribution](https://www.theregister.com/Tag/Quantum%20key%20distribution/) - [Ransomware](https://www.theregister.com/Tag/Ransomware/) - [Remote Access Trojan](https://www.theregister.com/Tag/Remote%20Access%20Trojan/) - [REvil](https://www.theregister.com/Tag/REvil/) - [RSA Conference](https://www.theregister.com/Tag/RSA%20Conference/) - [SharePoint](https://www.theregister.com/Tag/SharePoint/) - [Skype](https://www.theregister.com/Tag/Skype/) - [Spamming](https://www.theregister.com/Tag/Spamming/) - [Spyware](https://www.theregister.com/Tag/Spyware/) - [SQL Server](https://www.theregister.com/Tag/SQL%20Server/) - [Surveillance](https://www.theregister.com/Tag/Surveillance/) - [Tavis Ormandy](https://www.theregister.com/Tag/Tavis%20Ormandy/) - [TLS](https://www.theregister.com/Tag/TLS/) - [Trojan](https://www.theregister.com/Tag/Trojan/) - [Trusted Platform Module](https://www.theregister.com/Tag/Trusted%20Platform%20Module/) - [Visual Studio](https://www.theregister.com/Tag/Visual%20Studio/) - [Visual Studio Code](https://www.theregister.com/Tag/Visual%20Studio%20Code/) - [Vulnerability](https://www.theregister.com/Tag/Vulnerability/) - [Wannacry](https://www.theregister.com/Tag/Wannacry/) - [Windows](https://www.theregister.com/Tag/Windows/) - [Windows 10](https://www.theregister.com/Tag/Windows%2010/) - [Windows 11](https://www.theregister.com/Tag/Windows%2011/) - [Windows 7](https://www.theregister.com/Tag/Windows%207/) - [Windows 8](https://www.theregister.com/Tag/Windows%208/) - [Windows Server](https://www.theregister.com/Tag/Windows%20Server/) - [Windows Server 2003](https://www.theregister.com/Tag/Windows%20Server%202003/) - [Windows Server 2008](https://www.theregister.com/Tag/Windows%20Server%202008/) - [Windows Server 2012](https://www.theregister.com/Tag/Windows%20Server%202012/) - [Windows Server 2013](https://www.theregister.com/Tag/Windows%20Server%202013/) - [Windows Server 2016](https://www.theregister.com/Tag/Windows%20Server%202016/) - [Windows Subsystem for Linux](https://www.theregister.com/Tag/Windows%20Subsystem%20for%20Linux/) - [Windows XP](https://www.theregister.com/Tag/Windows%20XP/) - [Xbox](https://www.theregister.com/Tag/Xbox/) - [Xbox 360](https://www.theregister.com/Tag/Xbox%20360/) - [Zero trust](https://www.theregister.com/Tag/Zero%20trust/) ### Broader topics - [Alphabet](https://www.theregister.com/Tag/Alphabet/) - [Bill Gates](https://www.theregister.com/Tag/Bill%20Gates/) - [Search Engine](https://www.theregister.com/Tag/Search%20Engine/) ---