1 of 30

JAWS DAYS 2026

ランサムウェア攻撃シミュレーション - チームで挑む机上訓練ゲーム

2 of 30

自己紹介

今日同じグループになった方でお互いに自己紹介をしましょう！

3 of 30

テーブルトップエクササイズ (TTX)とは

なぜ TTX を実施するのか？�

実際のイベントの前に、�組織の問題や考慮不足を洗い出すことをサポートします
全員の最高のアイデアを集めて、�進むべき方向性を決定します
間違った答えはありません

テーブルトップエクササイズとは�

架空のシナリオを使用して、�特定のイベントに対する対応が�どうあるべきかを話し合う�トレーニングセッション
実際のイベントが発生する前に、インシデント対応計画の立案、既存のプロトコルの改良、および�担当者の役割と責任に関するトレーニングを支援

4 of 30

今日のゲームのハウスルール

楽しむ！
ギスギスしない。

今日のゲームはレクリエーション目的です

積極的に参加する。

聞いてるだけよりきっと楽しいよ！

「懇親会で仲良くなるきっかけ」

くらいの気持ちでやりましょう。ビールが旨い

5 of 30

今日必要なものは一つだけ

JAWS DAYS / TTX を楽しむ心！

6 of 30

グループワーク①

セキュリティインシデントに対処しよう

～医療機関向けランサムウェア感染シナリオ～

7 of 30

NIST IRプロセス

米国国立標準技術研究所（NIST）による�インシデント対応のための4段階のプロセス定義

NIST SP 800-61 r2 インシデントハンドリングガイド、NIST、https://csrc.nist.gov/pubs/sp/800/61/r2/final

準備

検出�と分析

封じ込め、�根絶、復旧

ポスト�インシデント�アクティビティ

各フェーズに応じてどのような行動をとるか？をグループで考えていきます

8 of 30

事例企業

病院概要

病院名：池袋サメ病院
拠　点：東京都文京区本駒込
病床数：140床
職員数：165名
診療科目：内科、消化器内科、循環器内科、外科、整形外科、リハビリテーション科

セキュリティ管理

副院長が情報セキュリティ責任者を兼務
システム管理課メンバーと各部1名以上からなる情報セキュリティ委員会を組織
医療情報システムの安全管理に関するガイドライン第5.0版を参考に情報セキュリティ規程を整備
情報セキュリティに関する職員教育(e-Learning)を年1回実施
情報セキュリティ対策の実施状況は各部の管理者が年2回確認し、情報セキュリティ委員会へ報告

8

9 of 30

事例企業に関する補足

セキュリティチームの一員
クラウドベースのミッションクリティカルなアプリケーションを新導入
　アプリケーションにより、臨床医、患者にリアルタイムでアクセス
　紙の記録や手作業によるプロセスの使用が不要
　機密データを扱うため、安全性・可用性を維持することが重要
　アプリにはユーザー登録する必要
　アプリはプライベートネットワーク、公共のインターネットから接続可能
�組織の全てのエンタープライズネットワークは�新しいクラウドベースのアプリケーションと直接通信可能な構成になっています

10 of 30

準備フェーズ

インシデント対応の準備とインシデントの防止のために必要な対策について、�

人材

プロセス

技術やツール��の観点から考えてください。��※議論に必要な前提は自由に設定してください。

お手元のポストイットとペンをご利用ください

11 of 30

イベント発生！！！

11

12 of 30

3月7日 9:30

病院内に設置されていたプリンタから、データを窃取および暗号化した旨の文書の大量印刷を内科の看護師が発見した
発見した看護師から情報セキュリティ責任者へその旨の報告があった

12

3月7日 10:00

情報セキュリティ責任者から指示を受けたシステム管理者が確認したところ、電子カルテサーバが暗号化されて操作不能となっていた
システム管理者は発生している現象からランサムウェアに感染したと判断して情報セキュリティ責任者に報告し、相談のうえ対応を進めることにした

13 of 30

検出と分析フェーズ

インシデントを検出し、そのインシデントの内容を分析しイベントの影響を確定させるために必要な対策について、

人材

プロセス

技術やツール

誰に対し、どのように対応を指示・報告・相談するか

��上記の観点から考えてください。

�

14 of 30

イベント進行！！！

14

15 of 30

3月7日 16:30

外部システムベンダA社が到着し、初動対応支援と調査を開始した
感染したパソコンには10万ドルの仮想通貨を要求するメッセージと、残り72時間を示すカウントダウンタイマーが表示されていた

15

初期の不正アクセス試行は、検出防御をすり抜けてしまい、�感染の初期兆候を検出することで早期に対応することは適いませんでした
ランサムウェアは拡散し始めており、�相当数のサーバーにすでに侵入しています��セキュリティチームは、スタッフから必死の電話を受け始めています。�ランサムウェアは、業務に必要な医療データを暗号化し始めました

16 of 30

封じ込め、根絶、復旧フェーズ

インシデントの影響範囲を最小限に封じ込め、不正なリソースを排除し、�通常のオペレーションに戻すために必要な対策について、

人材

プロセス

技術やツール��の観点から考えてください。�

みなさんのグループは身代金を支払って復元しますか？しませんか？

その判断理由は何か話し合ってください。

17 of 30

ポストインシデントフェーズ

皆様の決死の働きにより、セキュリティインシデントは落ち着きを見せました。

将来のセキュリティインシデントに備えて、

人材

プロセス

技術やツール��の観点から考えてください。�

18 of 30

ゲーミフィケーション

ランサムウェアテーブルトップエクササイズ

※ これはゲーム形式のイベントであり、現実のセキュリティインシデントを完全に再現するものではありません

19 of 30

チーム名:　　　　　　　　　　　

選択したイニシアチブ

イベント①の選択は、

イベント②の選択は、

イベント③の選択は、

+

=

点

Outcome

20 of 30

得点計算表

Outcome	得点
Best Outcome	100点
OK Outcome	60点
Tough Outcome	30点
Worst Outcome	0点

Outcome別得点

合計得点が高い順
同点の場合 → Best Outcomeの数が多い方が上位
それでも同点 → Worst Outcomeの数が少ない方が上位
それでも同点は同順とする

順位決定ルール

21 of 30

準備フェーズ:イニシアチブの選択

各グループは示された８つのイニシアチブから2つのイニシアチブを選択します
選択したイニシアチブとインシデント発生時の選択により得点が付与されます

今後のゲームの流れを決める重要な選択です

限られたリソースではすべてを満たすことは叶いません

その中で、皆さんは何を優先させますか？

22 of 30

イニシアチブを２つ選択してください

#	取り組み	概要
1	Executive Education�エグゼクティブ・役員層向けの教育	法務、広報、保険を含む上級幹部向けトレーニング。戦略的アカウントの取り扱い、メディアハンドリングの改善、投資家向け広報活動の改善。
2	Automated Response Capabilities 自動対応能力の向上	システムの自動応答の促進を通じて、�インシデントを迅速に封じ込め、根絶する能力の向上。
3	Threat Detection and Response 脅威検出能力の向上	検出と分析に関連するマネージドサービスを導入することで、�異常な動作を迅速に検出し、迅速に回復できます。
4	Data Protection データ保護	データ損失は最小限に抑えることで、インシデント後のアクティビティにかかる時間とリソースを節約できます
5	Logging and Monitoring ロギングとモニタリング	各種ログを全て取得し、分析ツールと組み合わせることでデータトラフィックと処理の問題点をすばやく発見できます。
6	Skills Uplift and Training スキルの向上トレーニング	チームメンバが、異常事態や異常な動作が発生した際に、�迅速に検出できる能力を養成します。
7	Playbooks プレイブックの作成	システムを迅速に封じ込めて復旧します。�インシデント後の活動に対処するためのプロセスを含め文書化します
8	BC, DR and Resiliency 事業継続計画・災害復旧計画	インシデントが発生した際に、データとシステムを迅速にリカバリします。

23 of 30

イベント発生！！！

各イベントに対して、チームで取るべき行動を決めてください。

23

24 of 30

イベント①：ランサムウェア感染懸念の兆候

悪意のある第三者からの不正アクセスと思われる兆候が検出され始めています。�ランサムウェアを意図していると思われる画面が表示されたという報告が来ています。何をしますか？

アプリケーションを一時停止する

�（ビジネスを一時停止する）

システムは止めないまま�対策を進める

レピュテーションの低下を招く可能性がありますが、保存されているデータや実行する操作について制御が可能です。蔓延する脅威に対処している間も、冷静さを保つことができると確信できます。

脅威を早期検知することでインシデントを食い止めることができるでしょう。�セキュリティインシデントに対処している間でも、ビジネスを続けます。事業を停止するにはあまりにも顧客が重要です。

25 of 30

イベント結果：ランサムウェア感染懸念の兆候

	アプリケーションを一時停止する（ビジネスを一時停止する）	システムは止めないまま�対策を進める
3, 5, 6 を選択	Worst Outcome	Best Outcome
それ以外	OK Outcome	Tough Outcome

セキュリティイベントを早期検知できるような機能（脅威検知、ロギングとモニタリング、スキルアップとトレーニング）に投資することで、�潜在的な脅威への迅速な初動対応が可能となり、�ビジネスを継続しながらセキュリティを維持することが可能となります。

26 of 30

イベント②：ランサムウェア感染拡大

ランサムウェアは、当初の封じ込め作業から逃れ、重要なサーバーに影響を及ぼし始めています。結果、お客様へのサービス提供能力が著しく損なわれ、ミッションクリティカルな業務に遅延や潜在的な障害が発生するリスクが生じています。

システムを停止

（ビジネスの停止）

それでもビジネスを続ける

顧客に状況を伝えたうえで、システムのオペレーションを全面的にシャットダウンします。

注:適切な投資を行っている場合には、事業を停止することは過度に保守的かもしれません。事業の停止は、広報や企業の評判において惨事につながる可能性があります。

顧客へのサービスを維持しながら、セキュリティインシデントに打ち勝つ能力に自信があります。ビジネスが重要なので、シャットダウンすることはできません。

27 of 30

イベント結果：ランサムウェア感染懸念の兆候

	アプリケーションを一時停止する（ビジネスを一時停止する）	システムは止めないまま�対策を進める
２，３，７，８を選択	Worst Outcome	Best Outcome
それ以外	OK Outcome	Tough Outcome

環境、システム、データの封じ込め、根絶、または回復に迅速に対応できる機能（自動対応機能、脅威検知サービス、プレイブック、BC・DR・レジリエンシー）に投資することで、インシデントと判断されたセキュリティイベントへの迅速な対応が可能となります。

28 of 30

イベント③：噂の独り歩き

必死の取り組みにかかわらず、ランサムウェアは封じ込め措置から逃れ、重要なサーバーに影響を及ぼす全面的な停止につながりました。SNS 上でも自社のセキュリティインシデントについて噂が立ち始めているようです。そんなとき、報道機関からの質問が社内から回ってきます「起きているという噂のセキュリティインシデントは本当ですか？」

状況が不確かな今、情報を発信しません。ジャーナリストを社内の適切な関係者に紹介する自信がありません。私の意見がなければ、噂が独り歩きすることはわかっていますが、法的な問題に巻き込まれるようなことを言うよりはましです。

私とチームは、このような状況での報告方法や、組織内の誰を紹介すべきかを教えてくれるような焦点を絞ったトレーニングを受けたり、ツールを用意したりしています。連絡を無視するほうが簡単ですが、メディアや投資家に先んじて正しいメッセージを発信することが重要です。

今は返事はできない

適切な方法で状況を伝える

29 of 30

イベント結果：ランサムウェア感染懸念の兆候

	アプリケーションを一時停止する（ビジネスを一時停止する）	システムは止めないまま�対策を進める
１，４，７を選択	Worst Outcome	Best Outcome
それ以外	OK Outcome	Tough Outcome

エグゼクティブ向けの教育、データ保護（保護すべきデータの識別を含むため、被害範囲の特定につながる）、プレイブックといった、外部機関とのコミュニケーションを処理するために必要なトレーニングとツールを従業員に提供することで、インシデントに関連する各種対応を効率化することが可能です。

30 of 30

本日のシナリオについて

本日使用したゲームは2025年3月に開催されたAWS Security Builder Circle TokyoのシナリオとIPAが公開しているセキュリティインシデント対応机上演習教材をベースにしたものです。

後日、得点計算やルールブックを含めて本日の資料が公開されるので今後の各支部のイベントなどで遊んでください

https://www.ipa.go.jp/security/sec-tools/ttx.html

セキュリティインシデント対応机上演習教材（IPA)