セキュリティを知らなくても楽しく遊べるボードゲームCybercansを遊んでみた #codeblue_jp #CyCraft #Cybercans

こんにちは、臼田です。

みなさん、セキュリティの勉強してますか？(挨拶

今回はCODE BLUE 2022で入手したサイバーセキュリティについて楽しく学べるボードゲームのCybercansで遊んでみたので紹介します。とにかくチョー楽しいです。

Cybercansとは

Cybercansは冒頭で説明した感じのボードゲームで以下のようなパッケージです。

ゲームを展開するとサムネにあるようにこんな感じです。

このゲームはモノポリー的なすごろくスタイルのゲームシステムで、題材としてはサイバーセキュリティを扱いながら、サイバーセキュリティの知識は全く無くても楽しく遊べます。プレイヤーは1企業としてセキュリティ機能や製品を購入して防御を固め、サイバー攻撃に対応したり、個別に発生するインシデントや全世界に共通して発生するニュースに対応して、最後まで沢山資金(お金)を守り抜いたプレイヤーが優勝です。わかりやすいルールですね。

もちろん、内容はサイバーセキュリティについて扱っているので、サイバー攻撃の内容やセキュリティ機能や製品の名前や特徴を覚えたり、どのようにセキュリティ対策をしていくか、雰囲気を掴むためにも役に立つでしょう。

このゲームはCyCraftという会社が制作しています。おそらく昨年のセキュリティ系イベントで初めて紹介され、昨年のCODE BLUE 2021ではプレイイベントを開催していて、優勝者にCybercansをプレゼントしていたようです。

Track2奥のスポンサーブースではCyCraft Japanさん製作のボードゲームが体験できます。使い捨て手袋も用意されていて感染防止対策も万全。補助金のマスに止まりたい人生だった。ランサムウェアの事例や、EDRで何が対策できるのかなど日本語の説明も正確で教育効果も高そう。#codeblue_jp pic.twitter.com/gRA5BvkZZM

— takesako (y0sh1) (@takesako) October 19, 2021

今回のCODE BLUE 2022ではブース販売していたので私も購入してきました！

Code Blue 2022で、サイバーセキュリティのボードゲームを現地限定で販売中。
明日でも買えるっぽい。 pic.twitter.com/B5Cw6PPnKt

— Sachiel (@sachielarcangel) October 27, 2022

ゲームシステムの簡単な紹介

Cybercansではサイバー攻撃から資産を守らなければいけませんが、守るために必要な考え方がCyber Defense Matrix（CDM）です。プレイヤー毎にこのCDMカードが配られます。

5つの資産(Devices / Applications / Networks / Data / Users)と5つの防御段階(Identity / Protect / Detect / Respond / Recover)のマトリクスです。

このマトリクスに対応するように、以下のように各防御カードにはそれぞれ守れる資産と防御段階が明記してあります。

上記ではEDRはDevicesとApplicationsのDetectとRespondに、2FAではUsersのProtectに対応しています。それぞれの防御製品を導入するには一番下のコストを支払う必要があります。そして、右上のサイコロの目は防御できる割合(遮断率)を表しています。サイコロを振ってその目以下の数字が出ないと守れないため、導入しただけで完璧に守れるではありません。

この2枚を所持していたら、CDMカードに以下のようにマークできます。どの領域を保護できているかわかりやすいですね。(実際に書くと2度と使えなくなるので、写真に撮って各自画像編集ソフトでマークするか、トークンなどを置くといいでしょう)

攻撃は防御段階の左から評価されていくため、如何にこのマトリクスを手厚くするかが重要です。

攻撃カードは以下のようになっています。DDoSとEmotetの例です。実際の攻撃手法がたくさん使われていて、ニヤリとしてしまいますね。

それぞれの攻撃カードは右上に対象となる資産、下には各防御段階毎の損失金額が書かれています。プレイヤーは攻撃を受けた時、まず対応する資産の防御カードがあるか評価します。そもそも防御カードが無ければ、攻撃カードの一番右下の金額を失います。

対応する資産の防御カードがある場合、その防御段階を左から評価していきます。例えばEmotetに対してEDRを所持していた場合、Detectフェーズで1回サイコロを振り、4以下が出れば遮断成功となり、Detectフェーズの手前であるProtectの下に書いてある$1,500の損失に抑えることができます。ここで止まらなくてもEDRなら大丈夫、Respondフェーズもカバーしているのでもう一度サイコロを振れます。ここで止まればRespondの手前の金額$2,000の損失で抑えられます。そして両方止まらなければ最後まで攻撃が進み$2,500の損失となります。

そのため、多層防御が重要なんですね。

一方で、防御カードをただ沢山集めれば良いわけでもありません。ボードを1周すると、防御カード1枚あたり$1,000の更新費用を払わなければなりません。また、途中には通過したときに、防御カードが5枚より少なければ「中小企業補助金」として政府から資金援助を受けることができるなど、バランスを考える要素があります。

最終評価は資金を一番多く持っていることです。防御カードに資金を費やして破産してしまっては本末転倒、妙にリアルなゲーム性です。

ちなみに実際にプレイしたら、ゲーム終了条件の1つであるボードを4周することよりも、破産して終わることの方が多かったです。世知辛い世の中ですな…

他にもインシデントでは社員がうっかり変なメールを開いたり、ニュースでは凶悪な脆弱性が見つかったりと様々なイベントが発生するので、戦略と運がいい感じのバランスで混ざっていて、セキュリティの知識はもちろんゲームにそこまで強くなくても楽しめます。

まとめ

セキュリティを知らなくても楽しく遊べるボードゲームCybercansを紹介しました。

ただ楽しむためにも使えますし、セキュリティの勉強の取っ掛かりとして、その考え方や用語を学ぶのにも役に立つと思います。

今回私はCODE BLUEにて購入しましたが、調べても常時買えるような情報はありませんでした。気になる方は来年のCODE BLUEを要チェックしていただくか、CyCraftさんのTwitterなどで問い合わせしてみてはいかがでしょうか？