こんにちは、パクテラ・コンサルティング・ジャパン株式会社(以下、PCJ)のセキュリティコンサルティング事業部(以下、SCG)、の李順です。今回はサイバーセキュリティを題材にしたボードゲーム「Cyber Attacker Placement」を紹介します。公開して間もないゲームですが、SCGの関西メンバーも早速ゲームで遊んでみました。このゲームは駒やカードなどを自作してプレイするため、本記事ではプレイの経験、感想などに加えて、準備や用意する道具の工夫なども紹介していきます。皆さんのご参考になれば幸いです。
Cyber Attacker Placement の正体とは
「Cyber Attacker Placement」は独立行政法人情報処理推進機構(IPA)に2017年4月に設立された産業サイバーセキュリティセンター(ICSCoE)が実施する「中核人材育成プログラム」のうち、2023年度第6期の卒業プロジェクトの一つとして、今年9月19日に公開されたボードゲームです。
「攻撃者の視点から、防御側が見落とす可能性のある脆弱な点に気づき、セキュリティ意識の向上」を促すことが狙いです。
ゲームでは、プレイヤーはハッカーグループの凄腕ハッカーとして、3人の部下を動かしながら4拠点を攻撃し、ポイントを獲得していきます。一番早く目標点数を集め、ハッカーグループの幹部に昇格することを目指していきます。
無料公開のゲームで、「個⼈、法⼈組織における⾮営利、⾮商業的態様でのシステムセキュリティ教育・啓発 ⽬的でのみ」プレイできます1。SCGでは、チーム内の研修としてプレイしてみました。ルール説明、必要なパーツはプロジェクトのページに公開されています。
Cyber Attacker Placement
プレイ人数:3人~4人
プレイ時間:45分~1時間
学習効果:攻撃者を疑似体験することでセキュリティ対策の重要性を学ぶ。
また、初学者に対してセキュリティへの興味を持ってもらう。
ゲームの目的
攻撃者視点の獲得を目的としたボードゲーム:Cyber Attacker Placement | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
- サイバー攻撃は対岸の火事ではないという事を学ぶ
- サイバー攻撃の種類、多様性について学ぶ
- セキュリティの重要性を学ぶ
- 脆弱性の放置の危険性を学ぶ
準備編
ゲームを実施するために、道具の準備から開始しました。攻撃者視点の獲得を目的としたボードゲーム:Cyber Attacker Placementに必要な道具のダウンロードリンクも掲載されています。内容物やそれぞれの説明は以下の通りです。
全部印刷すると枚数が多いのですが、最低限必要なファイルは「Cyber Attacker Placement遊び方マニュアル.pdf」「カード.pdf」「サイコロ、攻撃者、情報キューブ、得点チップ.pdf」「メインボード.pdf」でこれらを印刷すれば大丈夫です。
※手番リストは「Cyber Attacker Placement遊び方マニュアル.pdf」に同じページが含まれています。手番リストの部分だけ人数分あると便利です
印刷後、利用方法に沿ってパーツを作成します。普通のA4のコピー用紙に印刷したものをハサミでカットしましたが、そこで問題が発生しました。「カード」を作成する際、普通のコピー用紙だと、流石にペラペラし過ぎでプレイしづらかったのです。悩んでいるところ、先輩Tabさんの協力(実際にはTabさんの奥さんの協力)を頂き、ラミネート加工することで、「カード」の感じができました。「メインボード」もラミネーターで加工し、プレイしやすくなりました。
他にも、「サイコロ」(6面体1つ、4面体2つ)、「得点チップ」(1点と3点の2種)をA4紙で作りました。「情報キューブ」は4色各30個、「攻撃者」も各3個が必要でした。また先輩Tabさんの発案で、100円ショップで購入できる“おはじき”を活用することにしました。6袋のおはじきを購入したところ、青35個、黄54個、緑36個、赤55個と必要な数を準備できました。
上記のように広い机に四つメインボードを展開し、それぞれの道具を配置して準備は完了です。
プレイ編
いよいよ本番スタートです!
ルールはなかなか複雑で、読むだけではわからないことが多いので、一回トライするのがおすすめです。人数分印刷した手番リストは各プレイヤーの手元に置いて、わからない際に参照しながらゲームを進めました。説明書読みながら1回プレイすると大体わかります!
また、マニュアルのルールの中に「交渉」という要素がありますが、この要素は省略することができます。初心者の私たちにとってもルールが複雑になりすぎるため、今回は省略しました。
基本的には、手番での「攻撃カード」の使用または「拠点への侵入・展開」で得点を稼ぎ、先に15点を集めると勝ちとなります。「攻撃カード」と「拠点への侵入・展開」には「情報」が必要になり、毎手番で3つのサイコロを振った出目によって獲得できます。「攻撃カード」や「拠点への侵入・展開」の種類に応じて、必要な「情報」の数や色の組み合わせが異なります。その他、「拠点へ侵入・展開」すると強力な攻撃カードが使用できたり、次ターン以降「情報」がより多く獲得できたりするメリットがあります。
また特殊な効果を発動できる「イベントカード」もあります。他にも全体に影響を与える「脆弱性カード」や「セキュリティカード」があり、攻撃カードの弱体化や強化を行います。
結果発表&感想
複雑なルールに苦闘しながらも1時間ほどプレイし、最後自分が勝ちました!参加者の得点順は自分15点、Tanさん12点、Hさん8点、Tabさん6点でした。
前述のとおり、基本は「攻撃カード」の使用と「拠点への侵入・撤退」により点数を集めます。効率よく点数を集めるために、自分の場合、「ARPスプーフィング」というカードを多用し、効率よく2点を獲得しました。クイズのように知識を競うものであれば、先輩方に勝てなかったかもしれませんが、ゲーム要素もあることで、知識の差があっても勝てる可能性があります!
また、カード間の「相殺効果」は面白かったです。例えば、「二段階認証」のセキュリティカードと「VPN脆弱性放置」の脆弱性カードが同時に発動した場合、効果が相殺されます。現実的にも、「VPN脆弱性放置」のままでは、「二段階認証」を導入しても効果はありません。それぞれのカードの名前と説明文を通してサイバーセキュリティの知識を得られただけでなく、こういうゲーム通じて実感が伴い、理解を促進させることができました。
当初、ルールが複雑なこともあってゲームをやりづらいという抵抗感がありましたが、1回プレイするとゲームに慣れてきました。更に、ゲーム性と教育性も両方を体験できます。皆さんの職場でもオフィスにチームメンバーで集まって、プレイしていかがでしょうか。
終わりに
この記事についてのお問い合わせはこちら ⇒ 問い合わせフォーム
※「お問い合わせ内容」の覧に、記事名もしくは記事URLをご記載ください
採用情報はこちら ⇒ Pactera Recruit
現場コンサルタントとの面談等も対応可能ですので是非お気軽にお問い合わせください!
<執筆:李 順 セキュリティコンサルティング事業部 パクテラ・コンサルティング・ジャパン株式会社>
- 産業サイバーセキュリティセンター 中核人材育成プログラムにおける各卒業プロジェクトチームの著作物になります ↩︎