CIIREX 2010
CIIREX 2010とは、NISCが主催して実施している「重要インフラにおける分野横断的演習」である。同演習は平成18年から毎年開催されており、今年で5回目となる。同様の演習としては、米国のCyber Storm が著名だが、日本国内ではCIIREX 2010 が最大規模だろう。
CIIREX の特徴は、様々な重要インフラ事業者が一堂に会して分野横断的に演習を実施していることである。大規模災害などによる障害が発生した場合、被害が様々なインフラに波及的に発生する可能性が高く、その場合に各インフラ事業者が協調して対応することが重要となる。今回のCIIREX 2010では、10分野(情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流)の重要インフラ事業者が参加し、100名を超す参加者により演習が行われた。
CIIREX 2010のテーマは、「大規模通信障害」であった。NISCのプレスリリースにあるとおり、「国内で大規模通信障害が発生したことを想定し、重要インフラ分野に起こり得る現象についての情報共有や、通信障害に伴うIT 障害の未然防止・被害の最小化等、各分野のサービス維持や早期復旧に関する演習」が実施された。
重要インフラ事業者では、当然このような大規模通信障害は想定しているが、演習ではリアルタイムに様々な状況が付与されるため、状況を整理しつつ事前に定めた対応手順を適切に実施することが求められる。正しい情報を自ら働きかけて入手する必要もあるため、どれだけ臨機応変に他の組織と連携ができるかがポイントとなる。
通信事業者の防災訓練
大規模通信障害という点では、通信事業者主催の演習も数多く実施されている。例えばNTTドコモでは、各地域で総合防災訓練を実施している。筆者は2010年10月に静岡で実施された防災訓練に参加したが、自然災害などを想定して、非常用の衛星電話を自衛隊のヘリコプターで届けるなど、非常に本格的であった。
多くの訓練はつつがなく進められていたが、たまたま筆者が見ていた模擬災害対策本部では、衛星電話の設営に手間取っていた。マニュアル通りに通話を始めようとしていたのだが、なぜか通話が始まらないのだ。結局、通話先のダイヤルの仕方を間違えていたようだが、実際の災害時には焦りも加わって、もっと混乱した状況になっていただろう。
災害を想定した演習の重要性
防災訓練というと、毎年9月の防災の日にマスコミが取り上げる訓練や、学校などの各所で行われる避難訓練などを一般の方はイメージされるだろう。参加される方々にとっては、避難経路の確認や、災害時の備えについて再確認する場として重要である。一方、防災演習を主催する側にとっては、多くの知見を積み重ねる場として、その重要性はさらに大きくなる。自ら計画した災害時の対策が有効に機能するかどうか、見落としていた視点や手順はないかを、演習を通じて洗練させていくことになる。
特に、ICTに関連したインフラは近年ますます重要度を増している。すべてのインフラに関する十分な情報が統合的に管理されていないということも起こりうる。新しいICT技術が次々に取り入れられた結果、特定の装置・サービスが単一障害点となってしまっている可能性なども検討する必要があるだろう。装置やサービスなどの技術に関するものだけではなく、運用者を含めたトータルの耐災害性を検証するためには、多くの事業者を巻き込んだ演習は今後も非常に重要である。
本文中のリンク・関連リンク:
- 内閣官房情報セキュリティセンター(NISC)による CIIREX 2010のプレスリリース(PDF)
- 米国DHSによるCyber Storm
2010年9月にCyber Storm III が実施された。