経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは | ScanNetSecurity
2026.07.03(金)

経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは

日本ではサイバー相がPCを使えないことが議論になった。しかし、グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。

研修・セミナー・カンファレンス セミナー・イベント
Security Days 2019 講演「サイバーセキュリティ演習の実践的導入に関する事例検証」
Security Days 2019 講演「サイバーセキュリティ演習の実践的導入に関する事例検証」 全 3 枚 拡大写真
 日本ではサイバー担当相が PC を使えないことが話題になった。グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。

 この視点に立つと、サイバー演習は IT 部門や CSIRT だけの話ではなくなってくる。名古屋工業大学大学院 佐柳 恭成 氏は、ISO 22398( ISO223 シリーズのうちセキュリティ演習に関するガイドライン)をベースにサイバー演習の考え方、方法を解説する中で、マネジメント層のサイバー演習についての考え方について語った。なお本講演は Security Days Spring 2019 Tokyo で行われた。

●演習は基礎ができた上で効果を発揮する

 佐柳氏は、まず演習や訓練という用語の整理から入った。「練習」とは、基礎的な技能を身につけるために個人が行うものとした。これに指導者がつくと「訓練」となる。さらに状況が変化する中で実施されるものを「演習」と定義づけた。

 野球を例にすると、キャッチボールは「練習」である。コーチの元で行う打撃練習と連携プレーの練習は、インシデント発生時の起動や意思決定に相当するもので「訓練」となる。これが紅白戦となれば、社内マネジメント演習となり、公式戦は業界横断の演習に相当し、どちらも演習に分類される。

 ここで重要なこととして佐柳氏は「キャッチボールができない人は、打撃練習も連携プレーも紅白戦もこなせない。訓練も演習も基礎ができてこそ可能になるもの」と釘を刺した。後の解説ともつながることだが、基礎ができていない人は、サイバー演習もおそらくこなせないし、インシデントの対応や判断もできないということだ。

《中尾 真二( Shinji Nakao )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

    市の男性職員(40代)が住民記録システムを操作して元親族の個人情報を閲覧し懲戒処分に

  2. 日経225構成企業の217社で情報漏えいを確認

    日経225構成企業の217社で情報漏えいを確認

  3. セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

    セキュリティインシデント体験ツール「ZANSIN」の構築方法について解説

  4. Apache Tomcat に複数の脆弱性

    Apache Tomcat に複数の脆弱性

  5. サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

    サイバー犯罪者が犯行現場に残した「セルフィー」1,500 万枚を LLM 分析

ランキングをもっと見る
PageTop