悩み(13) 効果的な演習をする方法がわからない
o社のシステム部門は、経営層より、セキュリティ対策の一環としてインシデントを想定した演習の実施を指示された。しかし、CSIRTを構築したばかりのo社ではこれまで演習を実施したことがなく、効果的な演習を行うにために、どのように企画・運営を進めていけばよいかわからなかった。
基本情報
o社の状況
- 当初、システム部門単独にて、企画やシナリオの検討をおこなったが、演習に関する全般的なノウハウが不足していたことに加え、業務におけるシステムの利用実態や、セキュリティに関する課題についての理解も不足していた。
- 企画したシナリオを事前に事業部門等の他部門に報告したところ、「演習の趣旨や目的が不明瞭」「シナリオと業務との関連性が薄い」等否定的な反応をうけてしまった。
g社のプロフィール
| 業種 | 製造業 | |
|---|---|---|
| 規模 | 500人 | |
| 管理 体制 | CISOの有無 | 有 |
| 専任のセキュリティ部署 | 無 | |
| サイバーセキュリティ の主管部署 | システム部門 | |
セキュリティ担当者の問題・悩み
演習を形式的に実施しても効果は薄く、むしろシステム部門とその他の部門との溝を深めてしまうことになりかねない。
演習を通じて具体的な改善点が明らかとなり、全社を挙げて対策を推進していくためには、事業部門等の他部門も含む参加メンバーが現実的な危機感を共有し、効果を実感できるものとする必要がある。
取組(13) 演習実施部門と演習対象部門が協同して、演習内容を企画する
解決に向けたアプローチ
そこで、システム部門は、演習の実施前(企画段階)において、専門のベンダのアドバイスを受けることにしたほか、参加メンバーと協同でシナリオを検討することにした。また、演習の実施時や実施後において、事務局と参加メンバー、または参加メンバー同士のコミュニケーションを深化する必要があると考えた。具体的には、経営層の協力も得ながら、以下の工夫を行った。
| 工夫した内容 | 工夫による主な効果 | |
|---|---|---|
| 実施前(企画段階) |
|
|
|
| |
| 実施時 |
|
|
| 実施後 |
|
|
こうした工夫を行ったことで、参加メンバーのモチベーションは向上し、演習に前向きに取り組む意識が醸成された。また、演習を通じて業務手順や体制の改善等に繋がる課題の抽出ができるようになった。
得られた知見
演習は、事務局による一方的な実施ではなく、他部門を含む参加メンバーと協同して企画・運営することが重要である。
参加メンバーと協同するためには、企画から振り返りまでの各プロセスにおいて、事務局と参加メンバー、または参加メンバー同士のコミュニケーションを活発化させる工夫が必要