SHELLS HACK - ルールブック

ゲーム概要

サイバーセキュリティにおける攻撃者（Red Team）と企業側（Blue Team）の攻防をシミュレーションしたターン制バトルカードゲームです。

Blue Teamはセキュリティアーキテクチャを実装し待ち受け、Red Teamは自身の目的達成のためそれを突破を試みます。

プレイ人数・必要なもの

プレイ人数: 2人以上

🛡️ Blue Team（防御側）

アイテム	説明
企業カード	守るべき情報資産と資金力を決定
コンポーネントカード	サービス構成要素
対策カード	セキュリティ対策
資金トークン	対策コスト支払い用
株価トークン	企業価値の指標

⚔️ Red Team（攻撃側）

アイテム	説明
攻撃アクターカード	攻撃者の目的と能力
攻撃カード	攻撃手段
資金トークン	攻撃コスト支払い用

ゲーム終了条件・勝敗

チーム	敗北条件	勝利条件
Blue Team	株価50%以下	10ターン経過（設定で変更可能）
Red Team	10ターン経過（設定で変更可能）	株価50%以下 OR 目的を達成

ゲームの進め方

プレイ準備

Step	内容
1	Red TeamとBlue Teamの攻守を決定
2	Blue Team: 企業カードを引き、守るべき情報資産を確認
3	Blue Team: アーキテクト画面でコンポーネント構成と隣接関係を設定
4	Blue Team: 企業の堅牢性★分だけ対策カードを自動配布、さらに資金力★分だけ追加ドロー可能
5	Red Team: 攻撃アクターカードを引き、目的を確認
6	Red Team: 初期手札として5種類の攻撃カード（偵察/武器化/侵入-直接/侵入-横展開/目的実行）から各1枚ずつランダムに配られる。その後、技術力★分だけ追加で攻撃カードを引く
7	株価トークン10個（100%）をセット

アーキテクト画面

ゲーム開始前にBlue Teamがシステム構成をカスタマイズする画面です。

機能	説明
コンポーネント選択	構成図のコンポーネントをクリックして有効/無効を切替
隣接関係マトリクス	チェックボックスで横展開経路を自由に定義
リアルタイム可視化	矢印で接続関係を視覚的に確認

カスタマイズ例: 実際の企業環境に合わせて「VPN Gateway→クラウド管理コンソール」など独自の経路を追加可能

ターン構成

各ターンは3フェーズで構成:

＜初期フェーズ＞

資金力★分だけ資金トークンを獲得（最大5）

＜イベントフェーズ＞

イベントカードを1枚引き、効果を適用

＜行動フェーズ＞

チーム	行動
Blue Team	対策カードを1枚引き、手札から対策を適用可能
Red Team	攻撃カードを1枚引き、手札から攻撃を実行可能

オンライン対戦

離れた場所にいるプレイヤーとリアルタイムで対戦できます。

ゲームモード選択

タイトル画面で「ソロプレイ」または「オンライン対戦」を選択します。

モード	説明
ソロプレイ	1人で両チームを操作
ソロプレイ（CPU対戦）	Blue/Redの片方または両方をCPUが操作
オンライン対戦	2人で対戦（各自1チームを担当）

CPU対戦モード

ソロプレイ時に、Blue Team/Red TeamをそれぞれCPUに任せることができます。

設定方法

タイトル画面で「ソロプレイ」を選択
セットアップ画面下部の「🤖 CPU対戦」でチェックを入れる
「Blue = CPU」「Red = CPU」を個別に選択可能

CPU戦略

チーム	戦略の特徴
Blue CPU	侵入済み・偵察済みコンポーネントを優先防御、情報資産の重要度を考慮
Red CPU	目的実行可能なら即実行、情報資産を狙って侵入、武器化でバフ蓄積

CPU学習機能（Red Team）

Red CPUは攻撃の成功・失敗を記憶し、同じ失敗を繰り返しません:

偵察失敗の学習: 偵察に失敗したコンポーネントには再度偵察を試みない
侵入失敗の学習: 同じカードで同じターゲットへの侵入に失敗した場合、その組み合わせを避ける
偵察スキップ: 偵察可能なターゲットが全て失敗済みの場合、偵察なしでも侵入を試みる

CPU戦略切替（Red Team）

Red CPUは状況に応じて戦略を切り替えます:

モード	条件	行動方針
目標達成優先	初期状態	アクター固有の目標達成を最優先。目標に必要な資産を持つコンポーネントを狙う
株価下落優先	全体ターンの50%経過しても目標進捗なし	とにかく侵入・目的実行を繰り返し、株価を下げることを重視

例: 10ターン設定の場合、5ターン経過しても目標コンポーネントに侵入できていなければ株価下落優先モードに切り替わります。

CPU戦術（Red Team）

Red CPUは以下の戦術的判断を行います:

目的実行優先: 侵入済みコンポーネントがあれば、新規偵察/侵入より目的実行を優先
認証情報狙い: 社内認証情報を持つコンポーネントを優先的に攻撃し、横展開条件解除を狙う
横展開活用: 認証情報漏洩後は、横展開カードで内部コンポーネントへ直接侵入

CPU戦術（Blue Team）

Blue CPUは以下の戦術的判断を行います:

状況適応: 偵察/侵入済みがなければ外部公開コンポーネントを優先防御、偵察済みがあれば侵入対策、侵入済みがあれば実行対策を優先
Lv優先順位: 実行耐性Lv ＞侵入耐性Lv ＞偵察耐性Lv の順で強化
認証情報保護: 認証情報資産を持つコンポーネントを優先的に保護（横展開解除を防ぐ）

救済措置

CPU対戦時でも、プレイヤーは以下の操作が可能です:

CPUターン中も山札クリック・ターン終了ボタンを操作可能
CPUが停止した場合、手動でゲームを進行できる
両チームの手札・資金が常に表示される

オンラインロビー

オンライン対戦を選択すると、ロビー画面が表示されます。

選択肢	説明
新規ルーム作成	ホストとしてルームを作成し、対戦相手を待つ
ルーム参加	4桁のRoom IDを入力して既存ルームに参加

対戦フロー

ホスト（ルーム作成側）

「新規ルーム作成」を選択
4桁のRoom IDが自動生成され、待機画面に表示
Room IDを対戦相手に共有（口頭、チャット等）
相手が参加すると「対戦リクエスト」が表示
「承諾」を選択し、自分のチーム（Blue/Red）を選択
チーム別セットアップ画面へ移動

ゲスト（ルーム参加側）

「ルーム参加」を選択
ホストから共有されたRoom IDを入力
「参加リクエスト送信中」画面で待機
ホストが承諾すると、割り当てられたチームが決定
チーム別セットアップ画面へ移動

※ホストが拒否した場合は「対戦拒否」と表示され、ロビーに戻れます

チーム別セットアップ

オンライン対戦では、各プレイヤーが自分のチームのみをセットアップします。

チーム	セットアップ内容
Blue Team	企業カード選択 → コンポーネント選択 → 準備フェーズ（対策カードドロー）
Red Team	攻撃アクター選択 → 準備フェーズ（攻撃カードドロー）

両者が準備完了すると、自動的にゲームが開始されます。

ゲーム中の動作

ターン制御

自分のターン: 通常通り操作可能
相手のターン: 操作不可（オーバーレイ表示）
ターン終了ボタンを押すと、相手に操作権が移行

情報の表示

項目	自チーム	相手チーム
手札	表示	非表示（マスク）
資金	表示	非表示（マスク）
コンポーネント	表示	表示（Red側は偵察/侵入成功後にLv開示）

Room状態表示

ゲーム画面ヘッダーにRoom状態が表示されます。

状態	意味
SOLO	ソロプレイ中
WAITING	対戦相手待機中
MATCHED	対戦成立・ゲーム中

攻撃・対策ルール

対策レベル（3パラメータ）

パラメータ	説明
偵察耐性	情報収集への抵抗力
侵入耐性	不正アクセスへの抵抗力
実行耐性	最終目的達成への抵抗力

攻撃カテゴリ

カテゴリ	説明	成功時効果
偵察	情報収集	対象のLv開示
武器化	攻撃準備	攻撃バフ付与（次ターンまで）
侵入	不正アクセス	侵入済みフラグ + 対策Lv開示 + 情報資産開示
目的実行	最終目的達成	株価下落等

情報開示ルール

Red Teamは段階的に情報を取得する:

状態	開示される情報	表示
未偵察	なし	通常枠
偵察済み	対策Lv（偵・侵・実）	オレンジ枠
侵入済み	対策Lv + 情報資産	赤枠（点滅）

※ Blue Teamは常時全情報を確認可能

攻撃成立条件

攻撃が成功するには以下の全条件を満たす必要がある:

1. 露出条件

分類	コンポーネント	直接攻撃
Frontend	Web AP, Storage	○
端末	業務端末	○
Gateway	VPN Gateway, IdP	○
External	外部SaaS, DNS, 3rd Party JS, Client	○
運用	運用端末or踏み台サーバ, 社内SaaS, クラウド管理コンソール	×
Backend	DB, Internal API, Backup	×

×のコンポーネント: 隣接コンポーネントが侵入済みであることが必要

例外: 隣接無効ステータス
社内認証情報を漏洩させると「隣接無効」ステータスが付与され、×のコンポーネントにも直接攻撃可能になる。

2. 対象条件

攻撃カードのtargetにマッチすること

3. レベル条件

攻撃Lv ≧ 対策Lv

※ 攻撃Lv.0の項目は比較対象外

4. ステータス条件

カードに応じた事前条件（偵察済み、侵入済み等）

武器化バフルール

武器化カード使用成功時、バフが適用
バフは当ターン内の攻撃カードにのみ加算（ターン終了時にリセット）
ただし、攻撃カードの該当パラメータが元々Lv.0の場合、バフは加算されない
武器化カードは使用後に手札から消費される（他の攻撃カードは消費されない）

実効攻撃Lv = (カード基本Lv > 0) ? カード基本Lv + バフLv : 0

手札重複ルール

攻撃カード（Red Team）

カテゴリ	手札に複数枚	理由
武器化	○ 可能	使用後に消費されるため
偵察/侵入/目的実行	× 不可	使用しても消費されないため

ドロー時に同名カードが手札に既に存在する場合、そのカードはゲームから除外される（デッキ枚数が減少）
武器化カードは例外として、同名カードを複数枚手札に持つことが可能

対策カード（Blue Team）

カテゴリ	手札に複数枚	理由
対策カード全般	× 不可	使用しても消費されないため

ドロー時に同名カードが手札に既に存在する場合、そのカードはゲームから除外される

隣接関係（サービス構成シート準拠）

From	To
業務端末	IdP, VPN Gateway
IdP	クラウド管理コンソール, 社内SaaS
VPN Gateway	運用端末or踏み台サーバ
クラウド管理コンソール	Storage, DB, Backup
運用端末or踏み台サーバ	DB, Storage
Web AP	DB, Storage

Red Team視点: コンポーネント発見ルール

隣接必須コンポーネントはRed Team視点では初期状態で見えない。
侵入済みコンポーネントから隣接関係があるコンポーネントが発見され、初めて表示される。
横展開経路（矢印）も侵入成功時に表示される。

侵入したコンポーネント	新たに発見されるコンポーネント
VPN Gateway	運用端末or踏み台サーバ
IdP	クラウド管理コンソール, 社内SaaS
クラウド管理コンソール	Storage, DB, Backup
運用端末or踏み台サーバ	DB, Storage
Web AP	DB, Storage

※ 直接攻撃可能なコンポーネント（業務端末、VPN Gateway、IdP、Web AP、Client等）は最初から見える

逆引き: 横展開先 → 必要な侵入元

内部コンポーネントに横展開するために、どのコンポーネントを先に侵入しておく必要があるか:

横展開先	侵入元として有効なコンポーネント
運用端末or踏み台サーバ	VPN Gateway
クラウド管理コンソール	IdP
社内SaaS	IdP
Storage	クラウド管理コンソール, 運用端末or踏み台サーバ, Web AP
DB	クラウド管理コンソール, 運用端末or踏み台サーバ, Web AP
Backup	クラウド管理コンソール

株価下落計算

計算フロー

情報資産のあるコンポーネント（企業カードで定義）
    ×
攻撃対象のコンポーネント
    ＝
該当する情報資産を特定
    ↓
情報資産 × 攻撃カードの目的実行の内容（漏洩/削除/停止）
    ＝
株価下落率（複数該当時は最大値）

情報資産（4種類）

情報資産	漏洩	削除	停止
金融資産情報	株価-15%	株価-20%	株価-5%
顧客個人情報	株価-10%	株価-20%	株価-5%
社内認証情報	隣接無効※	資金-5	資金-1
企業秘密	株価-5%	株価-5%	株価-5%

※ 社内認証情報漏洩後、「隣接無効」ステータスが付与され:

「全て(直接攻撃可能)」対象の偵察/攻撃カードで内部コンポーネントも攻撃可能
横展開カードの「隣接侵入済み」条件が自動的に満たされる

カード一覧

攻撃カード（31種）

🔍 偵察（4種）

カード名	対象	条件	偵察Lv	コスト
OSINT	全て(直接攻撃可能)	なし	1	0
アクティブスキャン	全て(直接攻撃可能)	なし	2	2
ソーシャルエンジニアリング	業務端末	なし	3	4
パッシブ偵察(侵入後)	全て(隣接必須)	隣接侵入済み	2	3

🔧 武器化（5種）※次ターンまで有効

カード名	条件	バフ効果	コスト
フィッシングサイト構築	攻撃対象が業務端末の場合	侵入+1	2
エクスプロイトキット入手	なし	侵入+1	2
RaaS契約	攻撃カードがランサムウェア展開の場合	実行+1	2
ゼロデイ開発	技術力★★★以上	侵入+2	2
マルウェア開発	技術力★★以上	実行Lv+2	2

🚪 侵入 - 直接（8種）

カード名	対象	条件	侵入Lv	コスト
標的型フィッシング	業務端末	なし	2	3
水飲み場攻撃	業務端末	なし	1	2
VPN脆弱性悪用	VPN Gateway	なし	2	3
Webアプリ脆弱性攻撃	Web AP	なし	2	3
インジェクション攻撃	Web AP	なし	1	2
IdP侵害	IdP	なし	2	3
サプライチェーン攻撃	業務端末, Web AP	なし	2	3
内部者買収	業務端末	なし	3	5

↔️ 侵入 - 横展開（2種）

カード名	対象	条件	侵入Lv	コスト
ラテラルムーブメント(脆弱性悪用)	Storage, DB, Backup, 運用端末or踏み台サーバ	隣接侵入済み	2	1
ラテラルムーブメント(認証情報悪用)	全て	隣接侵入済み	2	1

🎯 目的実行（5種）

カード名	種別	対象	条件	実行Lv	コスト
データ窃取・外部送信	漏洩	全て	侵入済み	2	2
ランサムウェア展開	漏洩	業務端末, 運用端末or踏み台サーバ, Backup, Storage	侵入済み	2	2
ワイパー攻撃	削除	全て	侵入済み	2	4
DDoS攻撃	停止	Web AP, DNS	なし	1	4
インフラ破壊	停止	Web AP, 運用端末or踏み台サーバ, Storage, DB, Backup	侵入済み	2	3

社内認証情報漏洩効果: データ窃取・外部送信、ランサムウェア展開で社内認証情報を漏洩した場合、横展開条件が3ターン解除される。

対象資産なし: 侵入済みでも対象コンポーネントに保管資産がない場合、攻撃は成功するが株価下落は発生しない。停止系カードの場合はサービス停止効果のみ発動。

🛡️ 対策カード（13種）

カード名	対象	コスト	効果
EDR導入	業務端末, 運用端末or踏み台サーバ	3	侵入+1
NDR導入	業務端末, 運用端末or踏み台サーバ	3	実行+1
MFA導入	VPN Gateway, IdP, クラウド管理コンソール, 運用端末or踏み台サーバ, 社内SaaS	2	侵入+2
イミュータブル・バックアップ	Backup	2	実行+2
サイバーハイジーン	全て	3	侵入+1
ランタイム検知/脅威検知	Web AP, クラウド管理コンソール, 運用端末or踏み台サーバ, Storage, DB, Backup	2	侵入+1, 実行+1
アタックサーフェス監視	全て(直接攻撃可能)	2	偵察+1
セキュリティ教育	業務端末, 運用端末or踏み台サーバ	2	偵察+1, 侵入+1
IAM強化	クラウド管理コンソール	2	侵入+1, 実行+1
暗号化強化	DB, Storage, Backup	2	実行+1
ペンテスト/インシデント演習	全て(隣接必須)	3	侵入+1, 実行+1
WAF強化	Web AP	2	侵入+1
CDN導入	Web AP, DNS	2	実行+1

適用ルール: 同じ対策を同じコンポーネントに重複適用不可。耐性上限は3。初期値0の耐性には適用不可。

🖥️ コンポーネントカード（13種）

各コンポーネントの初期耐性レベル。対策カード適用により上昇する（上限3）。

コンポーネント	レイヤー	露出	偵察	侵入	実行
業務端末	端末	直接	3	1	1
VPN Gateway	Gateway	直接	1	1	1
IdP	Gateway	直接	1	3	2
運用端末or踏み台サーバ	運用環境	隣接必須	2	2	1
クラウド管理コンソール	運用環境	隣接必須	1	3	3
社内SaaS	運用環境	隣接必須	2	3	2
Storage	Backend	隣接必須	2	2	1
DB	Backend	隣接必須	2	2	1
Backup	Backend	隣接必須	2	2	1
Web AP	Frontend	直接	1	2	1
外部SaaS	External	直接	1	3	2
DNS	External	直接	1	3	2
3rd Party JS	External	直接	1	3	1

🎲 イベントカード（5種）

各ターン開始時に1枚引き、効果を即時適用する。

カード名	影響	効果
重大脆弱性発覚	Blue Team不利	全コンポーネントの侵入耐性-1
セキュリティ予算増額	Blue Team有利	Blue資金+2
攻撃グループ摘発	Blue Team有利	Red資金-2
情報漏洩報道	Blue Team不利	株価-5%
平穏な日	なし	効果なし