企業のインシデント対応力強化に必要な PDCAサイクルとは?

■ 企業が抱えるインシデント対応の課題
近年標的型サイバー攻撃の被害やランサムウェアの感染といったセキュリティ事故が後を絶たず、インシデント対応の重要性はますます高まってきています。それに伴い、インシデント対応チーム CSIRT(Computer Security Incident Response Team)を設置する企業も増えてきていますが、CSIRT のインシデント対応経験が不足していたり、インシデント対応のスキル・能力を持った人材がいないといった課題を抱えている企業も少なくありません。

また、トレンドマイクロの調査では、インシデント対応プロセスが文書化されかつ定期的に見直しを実施している企業は36.9%にとどまっており、多くの企業でインシデント対応プロセス自体が存在していない、あるいは存在していても改善する仕組みができておらず陳腐化していることが分かりました。インシデント対応に関するプロセスが文書化されていない場合、有事の際に初動が遅れる、必要な情報が集まらない、報告・連絡系統が不明瞭など、様々な問題に直面することが考えられます。初動の遅さや対応のまずさは、被害拡大や社会的な制裁といった形でビジネスにも影響を及ぼしかねません。

■ インシデント対応力強化の鍵を握る PDCAサイクル
こうした課題を解決し、CSIRT の質を高めていくためには、企業のインシデント対応の経験値を増やしていくことが重要です。インシデント対応を経験することで、CSIRTメンバーのスキルを向上させることができ、インシデント対応プロセスの課題、自社のセキュリティ課題等も見えてきます。

図1:インシデント対応のPDCAサイクル
図1:インシデント対応のPDCAサイクル

しかし、本当のセキュリティ事故が起きた時にだけ、PDCAサイクルをまわし、CSIRT のインシデント対応力を強化させていく考えは現実的ではありません。どれくらいの頻度でセキュリティ事故が発生するのかに依存するうえ、CSIRTメンバーの入れ替えや組織変更があった場合など、早急に CSIRTメンバーのレベルを高める必要がでてくることも想定されます。企業で定期的にこの PDCAサイクルをまわし、インシデント対応力を強化していくためには、セキュリティ事故が発生したことを想定したインシデント対応の訓練が必要になります。

トレンドマイクロでは、企業においてインシデント対応に関与するメンバーを対象に、インシデント対応訓練に役立つボードゲーム形式のインシデント対応学習教材「インシデント対応ボードゲーム」を公開しました。このゲームでは、架空の組織を舞台に、ゲーム内で発生するインシデントに対して、プレイヤーがそれぞれの立場・視点で議論しながら、インシデント対応のアクションを決定していかなければなりません。実際のセキュリティ事故が起きた場合の訓練として活用できるだけでなく、ゲームを通じて、具体化される自社のセキュリティ課題等に気づくことができます。企業はインシデント対応をあらかじめ模擬体験し、見えてくる自社の課題を解決しておくことで、有事の際のインシデント対応力を強化することができます。

インシデント対応ボードゲームは以下のページからプレイできます。

インシデント対応ボードゲーム
プレイ人数:4~7名
プレイ時間:1ラウンド40分(全2ラウンド)
インシデント対応ボードゲーム URL:http://www.go-tm.jp/learning
※インシデント対応の経験がない人でも、付属のルールブック、カードブックを参考にプレイできます。

 

【更新情報】

2018/03/22 16:12 画像を差し替え、プレイ人数を「4~6名」から「4~7名」に修正しました。