経営層向けサイバーセキュリティ演習について(その2)

 今回のブログ記事では、前回に引き続き、経営層向けサイバーセキュリティ演習の進め方について、準備からシナリオの検討まで、ステップごとに紹介します。  サイバーセキュリティ演習に取り組んでいる方の参考になれば幸いです。

演習の目的から逆算したサイバー攻撃のシナリオ検討

 演習の主要な参加者はA社の経営幹部であり、彼らが主体的に判断せざるをえない危機的な事態を想定することになります。  その前提として、「A社の最重要アセットは何か」を考える必要があるのです。通常、サイバーセキュリティリスクを考える上で、その組織が持つ「資産」と資産がもつ「脆弱性」、さらに資産に対する「脅威」を評価し、リスクが顕在化したときにどのような影響が発生するか、を考えるプロセスがあります。

 ここでいう資産には、単に保有している情報やITシステムのみならず、自社の保有する業務プロセスや販売ルート、自社製品のマーケットシェアなども含めて幅広く考える必要があります。

 今回の演習では、機微な個人情報を大量に取り扱っているというA社の業種特性を踏まえ、機密性と完全性を侵害するシナリオを作成しました。これが最もA社に与えるダメージが大きいと考えられるからです。

演習をリアルに近づけるために

 演習とはいっても、荒唐無稽な架空の設定では、課題発見といった十分な効果が得られません。システム面でのリアリティもとても重要です。そのため、演習事務局として、今回の演習範囲の業務を良く知る方に協力メンバーとして加わってもらい、ヒアリングやシステム設計に関するブリーフィング等を通じて、リスクの洗い出しを行いました。そうすることで、ある事象が発生した際の参加者の動きを予め想定でき、より参加者が困難な判断を迫られる状況を作り出すことができます。

 また、前回の記事で触れたような演習オペレータによる内外関係者役を配置することで、業務面においてもリアリティを向上させることができます。

 サイバーセキュリティ演習といっても、単純にシステム面のことだけわかっていればよいというものではなく、演習対象となる組織の全体像をよく把握することが重要となるでしょう。

演習の準備などについて

 おそらくこのブログをご覧になっている皆さんが一番気になるのは、このプロジェクトの実施にあたってどの程度のリソースを費やしたかという点だと思います。詳細は明らかにはできませんが、本プロジェクトにおいては、総プロジェクト期間6か月程度を要した、それなりに大規模なプロジェクトとなりました。

 こうした大規模なプロジェクトを円滑に進めるためには、社内のコンセンサスが絶対不可欠です。実際、今回のプロジェクトでは、A社のサイバーセキュリティ責任者の役員の方のコンセンサスのもと、サイバーセキュリティ部門が主体的にプロジェクトを企画・運営し、そこに事業部門の協力メンバーも加わって検討が進められました。(ArmorisはプロジェクトPMOや技術面を中心として、演習当日の運営や演習シナリオの構成に関する助言、支援を行いました)

 こうした組織全体を巻き込んだ環境整備により、社内の関係者の協力を十分に得ることができたため、実施に向けた準備をスムースに進めることができたと言えます。

どんな組織におすすめ?

 さて、こうしたサイバー演習については、どんな組織が行うべき取組みでしょうか。先述のとおり、演習とは、総合的な能力の向上、学びや気づきを得ること、特定のプロセスの検証と改善、などを目的に実施するものであることから、演習を行うべき対象はある意味では全ての組織に該当するといえるでしょう。

 しかしながら、そうはいってもなかなかイメージしにくい、経営層まで巻き込んでできるものか・・と躊躇してしまうこともあると思います。そこで、我々としては、できる範囲で少しずつ広げていくという、スモールスタート方式をおススメしています。

 例えば、そもそもサイバーセキュリティに関して大幅に知識や要員が不足しているという状況であれば、まずはセキュリティ部門を対象とした小規模な演習を実施する、次に、セキュリティ部門とある特定の事業部門の現場レベルを対象とした演習を実施する・・・というような進め方が考えられます。もしくは、既に経営者・役員レベルでサイバーセキュリティの重要性のコンセンサスが得られているが、具体的なアクションにはつながっていないという状況であれば、いきなり経営レベルを対象とした演習を実施することで、課題の優先順位を設定する契機になるかもしれません。

 いずれにしても、演習は自組織のセキュリティを向上させていくための一方策であって、それ自体は目的ではないので、演習からどのようなことを得たいのか、から逆算すると良いと思います。

最後に

 Armorisが提供する経営層演習支援サービスについては、以下のウェブサイトでもご紹介していますので、良かったらご覧ください。 【経営層向けサイバーセキュリティ演習支援サービス】 https://www.armoris.jp/top/service/group/exercise-executive

 また、経営層演習以外の演習系のプログラムについては、別の記事でまとめたいと思います。