米連邦捜査局(FBI)が2025年にアラバマ州ハンツビルに開設したサイバー攻撃訓練施設「キネティック・サイバーレンジ(Kinetic Cyber Range)」の内部映像が、今週初めて一般公開された。The Vergeのテレンス・オブライエン記者(Engadgetで10年間マネージングエディターを務めたベテランライター)がその詳細を報じた。
なぜこの施設が注目なのか
キネティック・サイバーレンジは、面積約22,000平方フィート(約2,044㎡)に及ぶ「偽の街」だ。コンビニエンスストア、ガソリンスタンド、病院、そして完全に家具が揃った住宅まで備えた本格的な模擬都市で、FBIの有名な射撃訓練施設「ホーガンズ・アレイ(Hogan’s Alley)」のサイバーセキュリティ版と位置づけられている。
この施設の核心は「リアリティ」にある。街内の各建物・施設は、現実のインフラと同様に相互接続されている。さらに200台超のサーバーを擁する独自のデータセンターも設置されており、実際にマルウェアを感染させたり、ハッキングシナリオを実行したりすることが可能だ。ただし、すべてのシステムは外部ネットワークから完全に隔離されており、悪意あるコードが外部へ流出するリスクはない。
The Vergeが伝えた訓練内容の詳細
The Vergeの報道によると、訓練生はこの施設で以下のような実践的演習を実施できる。
- 車載エンターテインメントシステムのフォレンジック調査: 現代の自動車がサイバー攻撃の標的になりうることを前提とした実機演習
- 病院コンピューターネットワークへの侵害と対応: ヘルスケアインフラへのランサムウェア攻撃などを再現
- 電力グリッドへのサイバー攻撃のシミュレーション: 重要インフラが標的になるシナリオの研究と対応訓練
- 企業セキュリティシステムの攻防演習: 実際の企業環境に近い条件でのペネトレーションテスト
また、偽のデータセンターには電力会社を模したシステムも含まれており、価格操作シナリオなど社会インフラへの波及影響まで含めた演習が可能とのことだ。
日本市場での注目点
キネティック・サイバーレンジはFBI専用の訓練施設であり、外部への開放はされていない。しかし日本にとっての示唆は小さくない。
重要インフラのサイバーセキュリティ人材不足: 日本でも電力・鉄道・医療機関へのサイバー攻撃リスクは年々高まっており、NICTやIPAが演習環境の整備を進めている。しかし規模感や「実インフラを模した環境での訓練」という観点では、今回公開されたFBIの施設は一つの到達点を示している。
フィジカル×サイバーの統合視点: 車載システムや病院ネットワークを実機で訓練できる点は、OT(運用技術)セキュリティ人材の育成という文脈で日本企業・官公庁にとっても参考になる。日本ではITとOTのセキュリティが縦割りになりがちな組織も多く、「境界を越えた」訓練環境の重要性はこれから増す一方だろう。
筆者の見解
FBIがこれほどの物理的投資をサイバー訓練施設に行ったことの意義は大きい。
サイバーセキュリティ訓練の難しさは、常に「本物に近い環境をいかに再現するか」にある。仮想マシン上のシミュレーションと、実際のPLC・医療機器・車載ECUが絡む現実のシステムとの間には、まだ大きな溝がある。キネティック・サイバーレンジはその溝を物理施設で埋めようとした、ある意味で非常にアナログな解法だ。
特に注目したいのは、縦割りになりがちな分野——電力、医療、自動車、企業ネットワーク——を一つの施設で横断的に訓練できる点だ。現実の攻撃者は分野の壁を気にしない。侵害が電力系統から病院へ、病院から個人宅へと連鎖するシナリオは、もはや絵空事ではない。防御側も同様の「つながり」を意識した訓練が必要であり、その観点でこの施設の設計思想は理にかなっている。
日本においても、個人のスキルアップに依存するだけでなく、「実践的な訓練環境を組織として整える」という視点への転換が求められている。優秀な個人が仮想環境で学ぶことと、現実に近いインフラで体得することの差は、実際のインシデント対応で大きく表れる。今回のFBIの取り組みは、そのことを改めて考えさせてくれる事例だ。
出典: この記事は The FBI built a small town to simulate cyberattacks の内容をもとに、筆者の見解を加えて独自に執筆したものです。