経営陣向けサイバー演習・訓練コンサルティングサービス
経営陣向けサイバー演習・訓練コンサルティングサービスの意義
経営陣向けサイバー演習サービスとは、サイバー攻撃に起因するインシデントが発生した際に経営陣が対応しなければならない点を理解いただき、意思決定力を養っていただくための演習サービスです。
経済産業省による「サイバーセキュリティ経営ガイドライン」や内閣サイバーセキュリティセンター(NISC)が策定した「企業経営のためのサイバーセキュリティの考え方」にもある通り、昨今では、経営陣のサイバーセキュリティへの関与が強く求められています。サイバーセキュリティはもはや経営を揺るがす重大な課題となっており、経営陣のトップダウンで取り組むという姿勢がなければ、投資にせよ人材育成・確保にせよ、推進することが非常に困難だからです。
では、経営陣はどのようにしてサイバーセキュリティに関与すればよいのでしょうか。その答えの一つが本サービスです。
サイバー攻撃の脅威やセキュリティの重要性はメディアでも常に発信され、経営陣の方も普段の生活で目にすることは多いでしょう。セキュリティが重要ではないという経営陣の方は一人もいないはずです。ではなぜトップダウンでの取り組みが進まないのでしょうか。それは、残念ながら多くの経営陣の方にとって、優先順位があまり高くないからです。なぜ優先順位があまり高くないのかといえば、サイバーセキュリティが「なんとなく重要なのは知っている」程度のものであるためです。
そんな状況を解決するのが、「経営陣向けサイバー演習・訓練コンサルティングサービス」です。経営陣が疑似インシデント環境を体験することでセキュリティの重要性を実感することができ、自分事化につながり、ひいてはトップダウンでの血の通った指示につながります。サイバー演習の最後には振り返りの時間を必ず設けますが、そこで経営陣から課題と感じたことを率直に言葉にしていただくことで、サイバーセキュリティの取り組みが大きく進むケースを数多く見てきています。
サイバーセキュリティにおいても、経営陣が意思決定する場面は必ず訪れます。
その意思決定力を養う近道が経営陣向けサイバー演習・訓練コンサルティングサービスです。
このようなお客様におすすめします
サイバーセキュリティの取り組みを進めているお客様、または、本格的に取り組もうとされているお客様の中で、下記のようなお悩みを抱えている方々が当該サービスの対象となります。
- 現場はサイバーセキュリティの重要性を理解しているものの、経営陣の理解が不足している
- 経営陣のサイバーセキュリティに対する知識が浅く、どのようにセキュリティの重要性を伝えていいのかわからない
- サイバー攻撃を受けた際の経営判断が適切にできるか不安がある
- 経営陣とシステム担当者との調整、連携がうまくいかないことが多い
- これまでにサイバー被害を受けたことがなく、その脅威が経営陣の自分事になっていない
サービスの特長
サイバー演習の成功のカギは、演習シナリオとファシリテーションです。その点を踏まえ、本サービスは以下のような特長があります。
- 1. サイバーセキュリティにおける経営判断のポイントを網羅します
- サイバー攻撃時に経営陣が判断すべき重要なポイントは、被害拡大の抑止、対策本部の立ち上げ、外部公表の要否、サービス再開の判断です。本サービスでは演習シナリオにこれらの検証ポイントを盛り込み、実際のサイバー攻撃を想定した実効性の高い演習を提供します。
- 2. サイバー演習の成功のカギ、リアルで多彩なシナリオ作成に定評があります
- 演習の成功のカギの一つがどれだけ臨場感のあるシナリオを準備できるか、ということです。演習は、参加者から不満の声が上がった瞬間に、失敗が決まったようなものです。演習の成功は、如何にリアルで多彩なシナリオで参加者の興味を惹きつけ続けられるかにかかっていると言っても過言ではありません。弊社はこれまで様々な業種・業態の民間企業のサイバー演習に加え、内閣官房やNISCなどの大規模サイバー演習などの支援も行ってきており、あらゆるパターンに対応できるシナリオ作成ノウハウを有しています。これらのノウハウを活かし、お客様の環境に最適な演習シナリオを作成します。
- 3. サイバー演習のもう一つの成功のカギ、ファシリテーション能力に長けています
- シナリオに加え、もう一つの成功のカギがファシリテーションです。演習は参加者の意見を引き出し、協議することでその効果が高まりますが、慣れない場で普段は考えていないような事態について話し合うのは難しいものです。議論が詰まった際にヒントを出したり、横道にそれた話を本筋に戻したりと、ファシリテーションは演習の成否に大きく影響します。たとえシナリオが多少稚拙でも、ファシリテーターのファシリテーション能力次第でサイバー演習を成功に導くことは可能です。弊社は多くの組織の経営陣のご支援に携わってきたコンサルタントが経営陣の本音を引き出し、演習を取り仕切ります。
- 4. お客様のニーズに合わせて支援するオーダーメイドが可能です
- お客様のご要望に合わせて、サイバー演習シナリオのカスタマイズが可能です。一般的な内容はもちろん、大規模イベント開催時のサイバーセキュリティ対応や、サイバーセキュリティ被害とパンデミックの複合事象等のハイレベルな内容も対応可能です。
- 5. 経営陣とシステム担当者の連携確認が検証できます(オプション)
- 経営陣とシステム担当者の間では、同じ目線で会話をすることが難しいものです。サイバーセキュリティについては専門用語なども多用されるため、両者間のコミュニケーションに課題があることも多く、そのことがサイバーセキュリティの有事に致命的な影響を及ぼすことが危惧されます。そのような場合、例えばCSIRTのメンバーの一部を演習に参加させることにより、経営陣とCSIRT要員のコミュニケーションギャップを炙り出し、お互いの理解促進につなげることができます。
成果物イメージ
経営陣向けサイバー演習・訓練コンサルティングサービスでは、参加者の演習への習熟度やセキュリティリテラシーにあわせて柔軟に演習ツールを設計します。
一例として下図のようなツールを整備します。
- ・演習計画書
- 検証内容からシナリオ概要、演習時のレイアウトまで、検討事項や対応スケジュールを計画
- ・演習シナリオ
- 演習対象者への状況付与の骨子
- ・演習投影状況付与資料等
- 当日資料一式
- ・実施結果報告書
- サイバー演習の結果を調査分析し、経営陣のサイバー習熟度や課題等を記載
作業ステップ(例)
下図は経営陣向けサイバー演習・訓練コンサルティングサービスを実施する際のステップとなります。
お客様事例