デジタルトランスフォーメーションの7つの事例をこちらの記事で紹介しています

炎上したらどうする?セキュリティ事故対策に最適な模擬訓練を知っていますか?

炎上したらどうする?セキュリティ事故対策に最適な模擬訓練を知っていますか?

プロジェクトファシリテーターのじゅんです。

インシデントという言葉を聞いたことがあるでしょうか?

情報システムを運用するお手伝いのなかでこの対応に関する内容はいつもでてきます。
ここで言うインシデントとは、情報システムに関わる安定稼働している普段のシステム動作とは違った事象のことを指します。

このインシデントは大きくは外部からのサイバー攻撃や社内システムでのウィルス感染の対応まで多岐にわたります。
私はCSIRTという社内のセキュリティ対策チームの立ち上げ支援も行った経験があります。
その経験から今回紹介する訓練方法はとても有効だと思ったので紹介させていただきます。

今回紹介する訓練方法は、トレンドマイクロ社という企業が提供している内容です。
ウィルスバスターというウィルス対策ソフトを聞いたことがある方は多いと思います。
そのウィルスバスターを提供しているセキュリティのスペシャリスト企業が提供する訓練方法です。

セキュリティ事故やサイバー攻撃などの炎上にたいして何から手を付けたらよいかわからない企業向けの記事です。ぜひ参考にしてください。

スポンサーリンク

セキュリティ事故が起きると企業にとって大きな損失になる

セキュリティ事故の損失については上記の記事をみていただきたいと思います。
これらに対して対策をするとなると、セキュリティシステムを導入したり、専門的な技術者にお願いすることで対応していきます。
しかし、システムや他社にお願いするだけでなく、自分たちでできることがあります。

それは、セキュリティ意識を向上させることと、もし起きてしまった場合の対応を迅速に処理することです。

セキュリティ事故の模擬訓練はボードゲームで遊びながら学んで体験する

模擬訓練としておすすめの方法はインシデント対応ボードゲームです。
ボードゲームで遊びながらセキュリティ事故が起きたときの社内での対応をシミュレーションできます。
ゲームが終了した後は、どうすればよかったかなどを振り返って自社の改善に役立てることもできます。

インシデント対応ボードゲームとは

トレンドマイクロ社が無償で提供している教育・学習コンテンツです。
以下にその概要説明を記載します。

インシデント対応ボードゲームは、経営責任者からシステム担当者にいたるまで、
企業においてインシデント対応に関与するメンバーを対象に、
1チーム4~6名でプレイします。

架空の組織を舞台に、1ラウンド40分(全2ラウンド)のプレイ時間の中、
ゲーム内で発生するセキュリティインシデントに対して、
プレイヤーはそれぞれの立場・視点で議論しながら、
インシデント対応の方針を決定していきます。

実際のセキュリティ事故が起きた場合の訓練として活用できるだけでなく、
ゲームを通じて、具体化される自組織のセキュティ課題等に気づくことができます。

企業はインシデント対応をあらかじめ模擬体験し、見えてくる自社の課題を解決しておくことで、有事の際のインシデント対応力を強化することができます。
なお、本ボードゲームは、インシデント対応の経験がない人でも、付属のルールブックを参考にプレイすることができます。

トレンドマイクロ社 プレスリリースより引用
https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180322-01.html

どうやって利用できるの?

こちらのページからダウンロードすることができます

インシデント対応ボードゲーム スタンダード版 

インシデント対応ボードゲーム 金融版

ダウンロードできたら印刷しましょう

ダウンロードしてファイルを解答するとたくさんのPDFファイルが保存されています。
それを印刷しましょう!
印刷の仕方は「同梱物一覧・使い方.pdf」というファイルに書かれているのでそのとおりに印刷します。
基本的に白黒印刷で問題ありませんが、雰囲気を楽しみたい方はカラー印刷がいいと思います。

両面印刷は微妙にずれる

裏面の線に沿って切るのがおすすめです。
じゃないと、裏面にした時にどのカードかがわかっちゃう!
そんなに何回もしないかもしれないけど。。。。

早速!模擬訓練して(遊んで)みましょう!

私は一人でやってみたので、最低限のカードでやってみました

ルール

「rulebook_std.pdf」にすべて記載されておりますので、こちらを読んでスタートします。

ボードゲームというからには勝ち負けがあると思ってしまいますが、このボードゲームは負けはありますが、明確な勝ちは存在しないゲームです。しかもその負けに関しても運要素がかなり強いので、プレイヤーの対応でどうにかなるわけではありません。

このゲームの本質は、セキュリティ事故がときたときの状況を体験し、その際の対策をシミュレーションを通じて体感してもらうというところです。

私なりの60分ワークショップ形式のプログラムを考えてみました

実際の遊び方はルールブックがありますが、私なりにプログラムデザインをしてみました。
ワークショップ形式で行う場合は参考にしてみてください。
実際に行った感想を教えていただけると大変嬉しいです。

問い合わせページやSNSでメッセージをください!

(準備中)

慣れてくるとランチタイムでできますよ!

今回のこのインシデント対応ボードゲームは知り合いの方から教えていただいたのですが、
その方が働いている企業では、ランチタイムで気軽に短時間で行っているそうです。
人数が多くなると様々な気付きがでて、より楽しくなるようです。

金融版はFISCに準拠しながら対応するらしい

まだ、やっていないので、やってみたら更新します
(準備中)

本日の提案&感想

自社の体制や整備状況の見直しに最適だと感じました。
セキュリティ教育とか研修ってセミナー形式で座学がほとんどで、正直、自分事として捉えられないスタッフの方は多いです。
そこに対して、ボードゲームを使って実際にイメージしやすく、自分ごととして解決するように積極的に頭を使って関われるこのゲームはとても研修や訓練に有効だと感じました。
特に事業会社などのユーザ企業にはオススメです。

慣れてきたら対象の企業を自社に設定してはよりリアルに対応できるかを試してみるとより深く気づきがあると思います。
そこで得られた気づきを実際の対応マニュアルに反映するということができれば模擬訓練の効果が出てきます。
ルールを追加してみるのも面白いと思います。例えば、自社にない手順は使えないとか

セキュリティ事故や炎上対策に関して企業内の研修や対策に関して何から手を付けてよいかわからない場合は、インシデント対応ボードゲームをダウンロードして社内で遊んでみましょう

ぜひやってみた感想をお寄せください!

投稿者プロフィール

じゅん
じゅんプロジェクトファシリテーター
フリーランスのITコンサルタント として、CIO代行サービスで多くの企業をサポートしています。
企業のIT戦略 立案・実行支援を行い、
ITを活用した情報システム の導入・マネジメント支援しています。
IT利活用 に関して気軽な相談から経営に関わる支援まで幅広く受け付けています。

普段私が仕事をする時にお客様やプロジェクトチームの方々に実際に話している内容をたくさんの方々に届けます。

DX(デジタルトランスフォーメーション)が好きすぎるので「DX王子」と呼ばれています。

どうすればIT企業レベルのIT活用ができるかの「答え」をお教えします

CTA-IMAGE この無料オンライン相談では、 ・ 導入しているITツールをフル活用する方法 ・ IT活用を進める方法 ・ 会社全体のIT活用をどこから手を付ければよいかの答え など、IT企業レベルのIT活用をするにはどうしたら良いかについてお伝えします。 オンラインミーティングで60分お話できます

セキュリティカテゴリの最新記事