経営層限定サイバー演習 DCE（Dear Chairman Exercise）とは

　日本ではサイバー担当相が PC を使えないことが話題になった。グローバルではインシデント対応の意思決定を誤る経営者やマネージャは失格の烙印を押される。それどころか当局から制裁金を課せられることもある。

　この視点に立つと、サイバー演習は IT 部門や CSIRT だけの話ではなくなってくる。名古屋工業大学大学院 佐柳 恭成 氏は、ISO 22398（ ISO223 シリーズのうちセキュリティ演習に関するガイドライン）をベースにサイバー演習の考え方、方法を解説する中で、マネジメント層のサイバー演習についての考え方について語った。なお本講演は Security Days Spring 2019 Tokyo で行われた。

●演習は基礎ができた上で効果を発揮する

　佐柳氏は、まず演習や訓練という用語の整理から入った。「練習」とは、基礎的な技能を身につけるために個人が行うものとした。これに指導者がつくと「訓練」となる。さらに状況が変化する中で実施されるものを「演習」と定義づけた。

　野球を例にすると、キャッチボールは「練習」である。コーチの元で行う打撃練習と連携プレーの練習は、インシデント発生時の起動や意思決定に相当するもので「訓練」となる。これが紅白戦となれば、社内マネジメント演習となり、公式戦は業界横断の演習に相当し、どちらも演習に分類される。

　ここで重要なこととして佐柳氏は「キャッチボールができない人は、打撃練習も連携プレーも紅白戦もこなせない。訓練も演習も基礎ができてこそ可能になるもの」と釘を刺した。後の解説ともつながることだが、基礎ができていない人は、サイバー演習もおそらくこなせないし、インシデントの対応や判断もできないということだ。