プラクティス・ナビ
プラクティス・ナビ

悩み(13) 効果的な演習をする方法がわからない

 o社のシステム部門は、経営層より、セキュリティ対策の一環としてインシデントを想定した演習の実施を指示された。しかし、CSIRTを構築したばかりのo社ではこれまで演習を実施したことがなく、効果的な演習を行うにために、どのように企画・運営を進めていけばよいかわからなかった。

基本情報

o社の状況

  • 当初、システム部門単独にて、企画やシナリオの検討をおこなったが、演習に関する全般的なノウハウが不足していたことに加え、業務におけるシステムの利用実態や、セキュリティに関する課題についての理解も不足していた。
  • 企画したシナリオを事前に事業部門等の他部門に報告したところ、「演習の趣旨や目的が不明瞭」「シナリオと業務との関連性が薄い」等否定的な反応をうけてしまった。

g社のプロフィール

業種製造業
規模500人
管理
体制
CISOの有無
専任のセキュリティ部署
サイバーセキュリティ
の主管部署
システム部門

セキュリティ担当者の問題・悩み

 演習を形式的に実施しても効果は薄く、むしろシステム部門とその他の部門との溝を深めてしまうことになりかねない。

 演習を通じて具体的な改善点が明らかとなり、全社を挙げて対策を推進していくためには、事業部門等の他部門も含む参加メンバーが現実的な危機感を共有し、効果を実感できるものとする必要がある。


取組(13) 演習実施部門と演習対象部門が協同して、演習内容を企画する

解決に向けたアプローチ

 そこで、システム部門は、演習の実施前(企画段階)において、専門のベンダのアドバイスを受けることにしたほか、参加メンバーと協同でシナリオを検討することにした。また、演習の実施時や実施後において、事務局と参加メンバー、または参加メンバー同士のコミュニケーションを深化する必要があると考えた。具体的には、経営層の協力も得ながら、以下の工夫を行った。

工夫した内容工夫による主な効果
実施前(企画段階)
  • 専門のベンダにアドバイスを依頼
  • 効果的な演習シナリオの立案や、演習当日のファシリテーションの方法等について、実践的なノウハウが得られた
  • 他部門のメンバーと協同してシナリオの検討を実施
  • 協同検討を通じ各部門の関心事項を把握し、シナリオに反映することができた。
    事業部門:ECサイトへの攻撃による顧客情報の流出
    法務部門:内部犯行による知的財産の流出 等
実施時
  • 演習後に、参加メンバー間での振り返りを目的とした反省会を実施した
  • 演習を通じて明らかとなった自身や組織の課題とその対応策について参加メンバーで意見交換を行うことで、メンバー同士での課題認識やノウハウの共有が図られたほか、一体感の醸成にもつながった。
実施後
  • 改善策について、参加メンバーへフィードバックした
  • 演習により明らかとなった課題について、その後実際に講じた対応策をフィードバックすることにより、参加メンバーが演習の効果を実感することができた。

 こうした工夫を行ったことで、参加メンバーのモチベーションは向上し、演習に前向きに取り組む意識が醸成された。また、演習を通じて業務手順や体制の改善等に繋がる課題の抽出ができるようになった。

得られた知見

 演習は、事務局による一方的な実施ではなく、他部門を含む参加メンバーと協同して企画・運営することが重要である。

 参加メンバーと協同するためには、企画から振り返りまでの各プロセスにおいて、事務局と参加メンバー、または参加メンバー同士のコミュニケーションを活発化させる工夫が必要


TOP