経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは | ScanNetSecurity
2020.07.05(日)

経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは

日本ではサイバー相がPCを使えないことが議論になった。しかし、グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。

研修・セミナー・カンファレンス セミナー・イベント
Security Days 2019 講演「サイバーセキュリティ演習の実践的導入に関する事例検証」
Security Days 2019 講演「サイバーセキュリティ演習の実践的導入に関する事例検証」 全 3 枚 拡大写真
 日本ではサイバー担当相が PC を使えないことが話題になった。グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。

 この視点に立つと、サイバー演習は IT 部門や CSIRT だけの話ではなくなってくる。名古屋工業大学大学院 佐柳 恭成 氏は、ISO 22398( ISO223 シリーズのうちセキュリティ演習に関するガイドライン)をベースにサイバー演習の考え方、方法を解説する中で、マネジメント層のサイバー演習についての考え方について語った。なお本講演は Security Days Spring 2019 Tokyo で行われた。

●演習は基礎ができた上で効果を発揮する

 佐柳氏は、まず演習や訓練という用語の整理から入った。「練習」とは、基礎的な技能を身につけるために個人が行うものとした。これに指導者がつくと「訓練」となる。さらに状況が変化する中で実施されるものを「演習」と定義づけた。

 野球を例にすると、キャッチボールは「練習」である。コーチの元で行う打撃練習と連携プレーの練習は、インシデント発生時の起動や意思決定に相当するもので「訓練」となる。これが紅白戦となれば、社内マネジメント演習となり、公式戦は業界横断の演習に相当し、どちらも演習に分類される。

 ここで重要なこととして佐柳氏は「キャッチボールができない人は、打撃練習も連携プレーも紅白戦もこなせない。訓練も演習も基礎ができてこそ可能になるもの」と釘を刺した。後の解説ともつながることだが、基礎ができていない人は、サイバー演習もおそらくこなせないし、インシデントの対応や判断もできないということだ。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. コロナ前のデータで訓練された機械学習モデル、現在完全に破綻

    コロナ前のデータで訓練された機械学習モデル、現在完全に破綻

  2. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  3. やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

    やけど虫の駆除方法、体液が皮膚に付いてしまった場合の対策について

  4. 金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁)

    金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁)

  5. 汚染された Tor ブラウザ、狙われるダークウェブ利用者

    汚染された Tor ブラウザ、狙われるダークウェブ利用者

  6. 「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器)

    「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器)

  7. テレワーク実施実態調査:都道府県別・業界別・職種別

    テレワーク実施実態調査:都道府県別・業界別・職種別

  8. サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

    サイバー犯罪の検挙件数、2019年は9,542件に(警察庁)

  9. LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

    LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

  10. GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス)

    GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス)

ランキングをもっと見る