経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは | ScanNetSecurity
2019.11.20(水)

経営層限定サイバー演習 DCE(Dear Chairman Exercise)とは

日本ではサイバー相がPCを使えないことが議論になった。しかし、グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。

研修・セミナー・カンファレンス セミナー・イベント
 日本ではサイバー担当相が PC を使えないことが話題になった。グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。

 この視点に立つと、サイバー演習は IT 部門や CSIRT だけの話ではなくなってくる。名古屋工業大学大学院 佐柳 恭成 氏は、ISO 22398( ISO223 シリーズのうちセキュリティ演習に関するガイドライン)をベースにサイバー演習の考え方、方法を解説する中で、マネジメント層のサイバー演習についての考え方について語った。なお本講演は Security Days Spring 2019 Tokyo で行われた。

●演習は基礎ができた上で効果を発揮する

 佐柳氏は、まず演習や訓練という用語の整理から入った。「練習」とは、基礎的な技能を身につけるために個人が行うものとした。これに指導者がつくと「訓練」となる。さらに状況が変化する中で実施されるものを「演習」と定義づけた。

 野球を例にすると、キャッチボールは「練習」である。コーチの元で行う打撃練習と連携プレーの練習は、インシデント発生時の起動や意思決定に相当するもので「訓練」となる。これが紅白戦となれば、社内マネジメント演習となり、公式戦は業界横断の演習に相当し、どちらも演習に分類される。

 ここで重要なこととして佐柳氏は「キャッチボールができない人は、打撃練習も連携プレーも紅白戦もこなせない。訓練も演習も基礎ができてこそ可能になるもの」と釘を刺した。後の解説ともつながることだが、基礎ができていない人は、サイバー演習もおそらくこなせないし、インシデントの対応や判断もできないということだ。
《中尾 真二( Shinji Nakao )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★10/8~11/30迄 創刊21周年記念価格提供中★★
★★10/8~11/30迄 創刊21周年記念価格提供中★★

2019年10月8日(火)~11月30日(土) の間 ScanNetSecurity 創刊21周年記念価格で提供。

×