EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

企業を強くするサイバー演習 #03:サイバー演習の全体像 第3回:ニュートン・コンサルティング著『企業を強くするサイバー演習』抄録

 ニュートン・コンサルティング 内海良氏の著書『企業を強くするサイバー演習』(翔泳社)の内容からエッセンスを数回に渡って紹介します。企業へのサイバー攻撃による被害が後をたたない中で、実践的な「サイバー演習」をおこなうための基礎的な考え方、種類やその概要を解説してきます。セキュリティ担当者の方に参考にしていただける、実践マニュアルです。第三回は、多様なサイバー演習の全体像について紹介します。

1-5 サイバー演習の全体像

 効果的・効率的なサイバー演習のために、演習の全体像を解説します。

1-5-1 全体の流れ

 サイバー演習の設計については、図表1-20のように事前準備から、演習実施後の振り返りまでを計画的に進めていく必要があります。必要なことを順序建てて推進していくことで、手戻りのない効率的な推進ができます。

1-5-2 事前準備を行おう

 サイバー演習を実施するトリガーは様々です。経営層から直接指示されることもあれば、他社の被害状況を受け、ボトムアップというかたちで、現場部門からやるべきだという声があがることもあります。その際、プロジェクトチームを組織して推進することが多いでしょう。組織ができたら必要な情報収集・整理を行い、経営側の意向も聞いた上で、スケジュールを決め、スケジュールに則り推進していきます。

図表1-20 サイバー演習の全体像[クリックして拡大]

1-5-3 演習計画書を作ろう

 次はサイバー演習の骨格をかたちづくりましょう。サイバー演習は、まず範囲(参加対象者・部門、対象フェーズ、対象システムなど)を明確にし、目的(ルール・手順の確認、意思決定・判斷力の向上など)、手法(机上、実働、総合など)と進めていくと効果的です。また併せて、実施日時や演習当日の準備物やプログラム、レイアウトなども演習計画書にまとめていきます。

1-5-4 演習シナリオを作成しよう

 演習計画書がまとまったら、次に演習の肝ともいえるシナリオづくりに入ります。シナリオについても押さえるべき勘所があり、誰が攻撃してくるのか、その動機は何か、どんな手法でそのシステムに攻撃し、どんな被害が出るのか、を整理していきます。

1-5-5 サイバー演習を開催しよう

 演習シナリオが作成できたら、いよいよサイバー演習の開催に向けて最終の準備を進めていきます。まずサイバー演習で必要となる資料類(投影資料や解説資料、演習参加者アンケートなど)を用意していきます。また、演習当日の役割分担を行い、演習本番前には必ずリハーサルを行いましょう。リハーサルでうまくいけば、本番もかなりの確率で成功するでしょうし、リハーサルで改善点が見つかれば、演習本番までに改善することで、成功する確率は上がります。

1-5-6 振り返りをしっかりやろう

 サイバー演習の実施が終わったら、必ず振り返りを行いましょう。振り返りをしっかり行い、参加者が感じた課題や改善点などを拾い上げ分析することで、今後の改善に大いに役立ちます。また、経営陣が参加しているのであれば、経営陣からも感想を聞きましょう。経営陣の危機感が醸成されていれば、その後のサイバー対応のスピードは飛躍的に向上します。

 次回からはそれぞれのステップについて具体的に解説します。

企業を強くするサイバー演習 (Shoeisha Digital First)

Amazon  SEshop  その他


企業を強くするサイバー演習 (Shoeisha Digital First)

著者:内海 良
発売日:2020年11月25日
価格:本体2,200円+税

本書について

第一線セキュリティ・コンサルタントによる サイバー攻撃対策とセキュリティ演習のテキスト



関連リンク

著者プロフィール

  • 内海 良(ニュートン・コンサルティング)(ウチミ リョウ)

    ニュートン・コンサルティング株式会社 執行役員兼プリンシパルコンサルタント。    日本でのシステム開発務経験を経て、2004年に渡英。弊社ロンドン法人にてSE 部門、コールセンター部門、セキュリティコンサルティング部門、営業部門のマネージャを歴任。欧州を舞台にその高いスキルを活かしてセキュリティコンサルティング、脆弱性診断、ペネトレーションテスト、IT ガバナンス構築など数多くのプロジェクトをこなす。2010年に帰国し現職。以降、責任者として内閣サイバーセキュリティセンターや東京都、様々な民間企業へのサイバー演習やサイバーセキュリティ監査、CSIRT 構築、リスクマネジメント等の支援を実施。お客様の本質を理解し、ゴールまで遵進するスタイルは多くのお客様か ら評価されている。 JIPDEC( 日本情報処理開発協会)BCMS 技術専門部会委員 CISSP, LPT(Licensed Penetration Tester), ECSA(EC-Council Security Analyst), CEH(Certified Ethical Hacker)

  • EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

    「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

バックナンバー

連載:翔泳社の本

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5