御礼
本ボードゲームは,CODE BLUE にて実行委員の@takesakoさんからご厚意でいただきました.
この場をお借りして御礼申し上げます.
1. はじめに
情報セキュリティをボードゲームで学べる《Cybercans:情報セキュリティ人生物語》を遊んだのでゲームの紹介と感想を書きます.
ボードゲームで楽しく遊んでるだけなのに,初心者でも情報セキュリティの知識を得ることができる一石二鳥のゲームです.
《Cybercans:情報セキュリティ人生物語》のパッケージ
2. Cybercans:情報セキュリティ人生物語とは
《Cybercans:情報セキュリティ人生物語》は,CyCraft が製作した情報セキュリティのすごろく型ボードゲームです.
ゲームには,情報セキュリティに関する様々な技術や事件(インシデント),知識が盛り込まれており,ゲームを通じて情報セキュリティを学ぶことができます.また,ゲームの中には,Cyber Defense Matrix(CDM)の概念が組み込まれており,CDMを活用して自組織の情報セキュリティ体制を構築していきます [1].
Cyber Defense Matrix(CDM)
セキュリティ専門家のSounil Yu氏が作成した,セキュリティ対策をサポートするためのフレームワーク[2].
NIST Cyber Security Framework (CSF) の5つの機能に,守るべき5つの資産を5×5の2次元のマトリクスで構成.
5つの機能:識別 (Identify), 防御(Protect), 検知(Detect), 対応(Respond), 復旧(Recover)
5つの資産:機器(Devices), アプリケーション(Application), ネットワーク(Networks), データ(Data), ユーザー(Users)
Cyber Defense Matrix(CDM)https://cyberdefensematrix.com
3. 基本的なルール
2~6人で遊べます.
プレイヤーは企業のセキュリティ担当としてセキュリティ技術や製品を用いて,サイバー攻撃やインシデントに対応します.
さいころを転がしながら進めて行き,止まったマスの指示に従って様々なイベントに対応します.
プレイヤー全員が4周するまで行います(4周目は攻撃等による損失額が2倍になります).
支出や収入が頻繁に発生しますが,ゲームの途中で支払いができなくなった場合(破産)は脱落となります.
勝利条件は,最も資金を持っているプレイヤーが優勝です.
4. ゲームの遊び方(簡単に)
ゲームの遊び方について簡単に紹介します.
4.1 各プレイヤーの準備
各プレイヤーが好きな色のコマと $20,000 所有した状態からスタートします.
コマはスタート地点に置きます.
はじめに,全プレイヤーは防御カードの中から好きなセキュリティ技術や製品を1つ購入することができます.
また,セキュリティ技術や製品は購入しないこともできます.
(特別な指示が無い限り,セキュリティ製品等の購入はボード上の表向きになっている5枚の防御カードから購入します)
4.2 さいころを転がしてコマを進める
準備ができたら,さいころを転がしていきます.
出た目の数だけコマを進め,止まったマスの指示に従います.
プレイヤー全員がスタート地点から4周するまで続けます.
ここでは,ゲームを進める上で主要となるマスの説明を行います.
4.2.1 防御マス
防御カードを一枚購入することができます.CDM を考慮して購入しましょう!
防御カードにはそれぞれ,下記の項目が記載されています.
① 防御できる確率(さいころの目)
② 対象となる資産
③ 防御段階
防御カード(アンチウイルスソフトウェア)
4.2.2 攻撃マス
攻撃カードを1枚引き,引いたカードに記載された攻撃を受けます.
はじめに,攻撃カードの右上に記載されている対象となる資産を確認します.
その後,CDM を使い対応する資産を持つ防御カードを所持しているか評価します.
-
対応する資産カードがある場合
防御する段階を左から順に評価していきます.防御カードに記載されているさいころの目の数を確認します.
さいころの目の数以下の場合
遮断成功です.さいころを転がした防御段階の前に記載された金額で損失を抑えることができます.
さいころの目の数以上の場合
さいころを転がした防御段階での遮断失敗です.次に防御できる段階があれば再度遮断を試みることができます.
攻撃を防御段階で止めることができなかった場合,攻撃カードの右下(Recover の下)に記載されている最大の金額を損失します. -
対応する資産カードがない場合
攻撃カードの右下に記載されている最大の金額を損失します
攻撃カード(ソーシャルエンジニアリング攻撃)
4.2.3 ニュースマス
セキュリティに関するニュースが流れます(ニュースカード).
このマスで引くニュースカードはさいころを転がしたプレイヤーだけでなく,すべてのプレイヤーを巻き込む確率が高いです.
ニュースカード(アプリケーション保護コンテンツ)
4.2.4 インシデントマス
何かしらのインシデントが発生します(インシデントカード).
セキュリティ業界で「インシデント(事件)」と聞くと悪いイメージがありますが,資金がもらえる「インシデント(出来事)」も発生したりします.
狙った相手に攻撃できるチャンスがあったり....
インシデントカード(いったい何を?)
4.2.5 その他のマス
資金がもらえたり,攻撃を2回受けるなど様々なイベントが発生します.
このマスに止まれば(止まっちゃったら)ゲームの大番狂わせにもなるマスです.
4.3 ゲームの終了
参加しているプレイヤー全員が(スタート地点から)4周したら終了です.
持っている防御カードは1枚当たり $2,000 に換金され資金として数えます.
最も多くの資金を持っているプレイヤーが優勝です。
5. まとめ
ボードゲームで楽しみながらセキュリティを学べる《Cybercans:情報セキュリティ人生物語》を紹介しました.
セキュリティをまったく知らずにでも,ボードゲームとして遊ぶことができます.また,カードに書かれている説明を読むだけでもセキュリティ用語や製品,攻撃手法を学ぶことができます.
セキュリティを学んでいる方はもちろんのこと,初学者やセキュリティをよく知らない方でも楽しむことができます.
6. 感想
1周目は防御する体制が整っていないため,攻撃が刺さりやすいです.なかなか防御カードや資金を手に入れることができず,4周目を迎えるどころか1週もできずに散っていったプレイヤーもいました.そのため,一緒に遊んでくれた学生からは,
「セキュリティ製品を考えて活用しないとセキュリティは確保できないのだね」
「CDMを考えても攻撃を受ければ被害は出るんだね...」
「セキュリティって本当にここまでシビアなのかな...」
「セキュリティ確保したのに破産するじゃん...そもそも,1週してないんだが?!」
という感想をいただきセキュリティ業界の過酷さをゲームで学ぶことができました.
それでも,カードに書かれている説明やマネジメント要素のあるゲーム構成は非常に面白く,定期的に研究室で遊びながらセキュリティを学んでいます.ちなみに,所属している研究室はマネジメントを専攻する学生が中心のため,防御カードに記載された内容を吟味し,見事な CDM を作成する力を身につけていました.その力を講義レポートで使ってくれと思ったのは秘密です.
- 個人の感想
ゲームを行う中で最も感じたことは,攻撃の対象にならないようにすることが最善策ということです.攻撃を受ければ,ほぼ損失が発生します.ゲームでは扱われませんが,現実世界でも攻撃を受ければ損失が出てさらには社会の信用も落ちます.そのため,攻撃を可能な限り受けないことがセキュリティを確保する上で非常に重要なことであると感じ取りました.
また,考えながらセキュリティ対策を確保する必要性があると思いました.攻撃を受けても最小限で被害を抑え込めるように多層防御を取り入れる必要性はあります.しかし,ガチガチにセキュリティを固めても資金が減り破産に繋がります.ゆえに,本当に必要なセキュリティ技術や製品を活用し,可能な限り防御を多層にする必要性があると学びました.
そのほか,ゲームの重要な要素であるCDM を活用することで,防御範囲やセキュリティホールをすべて可視化することができ,セキュリティ対策をする上での手助けになることに気づき,セキュリティを確保する上で積極的に CDM を活用したいと考えました.
セキュリティを学びたいけど何から学べばわからない人にはぜひおすすめしたいと思います.
改善してほしいポイント
- 防御カードのUI
カードに記載されている「対象となる資産」と「防御段階」の図形が同じであるため,パッと見で判断しにくい.図形の形を分けることで初学者も遊びやすくなり,製品ごとの特徴がより明確になると思った.
参考
[1] Cybercans : 情報セキュリティ物語
[2] Cyber Defense Matrix
編集履歴
| Version | Memo | Date |
|---|---|---|
| Ver. 0.1 | 初稿を執筆しました | 2022/11/25 |