インシデント対応マニュアルは役に立たない？「机上演習」の効果とは

　サイバーセキュリティを理解するためには、「演習」を行うことで、様々な技術的要素を経験として積むことが近道となる。

　前回は、我々サイバーディフェンス研究所が、政府や企業のセキュリティ担当者向けに様々なトレーニングを行っている演習のスタイルを簡単に紹介した。　第2回目となる今回は、議論を中心とした演習「机上演習」の価値について解説する。

机上演習で「意思決定」をトレーニングする

　演習の実施手法には、前回も取り上げたように様々なスタイルがあるが、演習について規定している国際標準「ISO22398」においては、セミナー、ワークショップ、ゲームと並び、机上演習について触れられている。

　机上演習とは、演習シナリオで発生した状況について議論することで、計画、ポリシー、手順などを見直す契機としたり、問題解決のための意思決定を練習する、ということになっている。

　実際の机上演習の運用では、仮想企業に所属する何かしらの役職を担った社員や関係者として、与えられた状況にどう対応するかを判断する。一人で考えるのではなく、数名のグループになって議論し、それぞれの意見を言い合いながら、どのような対応をするのかを決めていく。

　これまでに様々な机上演習をファシリテートしてきた経験からすると、同一企業の中のメンバーでグループを構成する場合には、様々な部署から参加者を募り、各部署の視点を出し合えるようにすると、効果的な議論になることが多い。複数企業からの参加者でグループを構成する場合には、「他の企業の考え方が学べて非常に参考になった」という評価を聞くことが多い。

　ところで、机上演習に参加する参加者のことを、演習用語では「プレイヤー」と呼ぶのだが、机上演習を企画する側がよく使う言葉として「プレイヤーに気づきを与える」という表現がある。これは演習に参加した人が何を得るか（＝学ぶか）というのが、人によってポイントが異なるという経験上の実態を踏まえた表現なのだろうと思う。

　正直なことをいえば、机上演習で何を学ぶのかを事前に伝えることは、一概に言い難い側面があると考えている。参加者は演習で何を学ぶのかといった答えを事前に求めがちであるが、演習において学べることは、人によって異なるからである。

　あえて机上演習で本質的に学べることを言い表すならば、普段仕事をしているときには遭遇することがないであろう“特別なイベント”が発生した際に、何を、どのように考え、どう対応しなければいけないのか、といった対応力と、事前準備として必要なことは何なのか、ということだろう。

インシデント対応マニュアルは役に立たない？

　もちろん中には、すでにサイバー攻撃などトラブルが起きた時のための事前準備をしている企業もあるだろう。そうした企業にとっても、机上演習は有効である。

　サイバー攻撃発生時の事案への対応活動は「インシデント対応」と呼ばれ、そのための組織が「CSIRT（シーサート）」という用語で表現される。CSIRTの活動範囲は、もちろん組織によって異なるが、CSIRTの元々の成り立ちはインシデント対応の準備と実対応の専門組織という位置づけである。

　インシデント対応への準備として、多くの企業において「インシデント対応マニュアル」を作成することを重要視している。しかし、実際に規模の大きいインシデントの対応経験があれば、膨大なマニュアルはほとんど役に立たないことが理解できる。… 続きを読む