サイバー演習 概要
最近の情報セキュリティ事故の発生動向を鑑みると、組織における情報セキュリティ対策において、対症療法的対応だけで終り、必要以上の対策が講じられることが多い場合があります。
そのため、適切なインシデントの発生予防に加え、インシデントが発生した際の 被害の最小化及び局限化(拡大防止)、そして迅速に回復する組織能力 を確保しておくことが重要です。
規模の大きい会社や、事業活動におけるインターネットにかかるセキュリティの重要性が大きい事業者を中心に事後対応体制の準備が進んでいます。
サイバー演習とは、重大なインシデントが発生する前に、関係主体者に期待される機能、能力、そして、相互のコミュニケーションの状況を確認及び検証するもので、情報の集約及び調整を役割とするコントローラーを中心に、プレーヤー(サイバー演習参加者)を星状に配置 した形態で実施されます。
状況認識
整備が進む「緊急時の体制及び対応」
- 経営層による指示
- 連絡体制と対応プロセスの整備
- 社員及び関係会社に周知
- 現場への適用管理
「緊急時の体制や対応」への懸念(経営層)
「緊急時の体制及び対応」の整備の後に見られる、経営層が抱く不安や懸念事項の例
- 緊急対応の主体者は、実際に行動できるか?
- 主体者らの相互認識は、確立されているか?
- 設定した体制は、実態に即しているか?
「緊急時の体制や対応」への懸念(現場)
現場で 緊急対応をする主体者の戸惑いや懸念事項の例
- 私(主体者)の適切な判断(意思決定)は、できるのか?
- 私(主体者)は、適切に相談・通知・報告できるのか?
- 伝達すべき相手(対応者)は、本当に対応してくれるのか?
サイバー演習の位置づけ
プロセスと主な成果物
事後報告書
- 演習結果の客観的事実に基づいて分析及び評価したものをまとめたもの
- 演習に参加しなかった関係者に対する読本として活用できるもの
事後報告書の活用例
- 情報セキュリティ施策実施の履歴として
- 演習参加者に対するフィードバックして
- 次期の情報セキュリティ施策立案の材料として
- 経営層に対する報告として
事後報告書 目次(例)
- エグゼクティブサマリ
- 演習概要
- シナリオ設計概要
- 見出されたこと(Findings)
- 能力分析
- 得られた教訓(Lessons Learned)
- 今後の演習について
- まとめ
- 別紙1: 改善計画
- 別紙2: 参加者からのフィードバックサマリ
- 別紙3: 演習イベントサマリテーブル
- 別紙4: パフォーマンス評価
サイバー演習の効果
- 実状に即したポリシー及びプロシージャの策定の検討課題を獲得
- 啓発・教育トレーニングの対象範囲の見い出し
- レスポンス能力或いは機能の不足している主体者の見い出し
- 社内外の情報セキュリティに関する情報流通体制の課題の獲得
- 各主体者の自発的活動の促進
- レスポンスチームの対応能力の向上
確認・検証対象
「能力」「全般的な活動」「各主体者の行動」の観点から、確認及び検証対象は、スポンサーが決定する。主な例は、次のとおり。
能力(キャパビリティ)の例
- 各主体者のレスポンス能力
- 各主体者のコミュニケーション能力
全体的な活動(アクティビティ)の例
- 上位者(意思決定者)、中心人物(キーパーソン)、専門家等の活用
- 連絡先リスト(電話及びメールアドレス)の活用
- 他のコミュニケーションチャネル(電話会議及びビデオ会議)の活用
- 使用頻度の少ない緊急用通信器材の活用
各主体者の行動(タスク)の例
- 既存の規定等によって、期待されている主体者レスポンスにかかるタスク
- 各主体者が、他者から期待されているタスク
- 各主体者が、緊急避難的に実施する現実的なタスク
