インシデント発生時、マネジメント層は外部からの問合せや、内部からの報告などにより、その事実を知ることになります。その際、インシデントにどのように対応するかの判断を求められますが、ここで判断ミスをしてしまうと被害が拡大し、企業経営に大きなダメージを与える事態に発展することがあります。例えば以下のようなケースです。

上記ケースでは、もし営業部長が自部門の利益を優先させることなくサーバの即時隔離に同意していれば、情報漏洩に至らずに済んだ可能性があります。もしくは情報漏洩が発生したとしても被害を拡大させることなく、社長や役員による謝罪会見で企業イメージ失墜！という事態にはならなかったかもしれません。その意味では、判断に関わるマネジメント層一人ひとりが、事業全体、会社全体の利益を考えて、即座に適切な判断ができるようトレーニングする必要がありそうです。

万一自社でインシデントが発生してしまった場合、インシデント対応手順書を整備している、あるいはインシデント対応の専任チーム「CSIRT（Computer Security Incident Response Team）」など体制も準備済み、という企業が増えてきていますが、これらは整備すればよいというものではありません。例えば、インシデント対応手順書に沿って対応を進めたとしても、以下のようなケースが想定されます。

カタチだけ対応手順書を用意しCSIRTを組織していても、内容が上記マンガのように、対応を急に依頼しても相手が他の業務から手を離せず、迅速に対応できなかったり、必要な権限が必要な人に与えられていなかったりした場合、あまり意味がありません。対応手順書を整備すること自体はゴールではなく、あくまでダメージを軽減させるための手段であることを肝に銘じ、きちんと機能する内容かどうかを定期的に厳しくチェックし、適宜見直す必要があります。

以下では、インシデント対応の課題を解決するためのサービスとして、日立ソリューションズが提供する『サイバーインシデント対応演習サービス』をご紹介します。主に経営層やマネジメント層を対象として、インシデントの発生を想定した下記2種類の演習サービスが用意されています。

お客様内で発生し得るインシデントを疑似的に体験することで、経営層・マネジメント層の判断力・指導力を鍛える演習サービスです。講師から最初に与えられた条件・情報（インジェクト※）への対応によって、次のインジェクトが動的に変化することで、対応手順書にない想定外の事態に直面した時の対応力・応用力を高め、組織的課題の把握が可能になります。
※インジェクト：演習を推進し、演習の判断／対応を導き出すために投入される情報

インシデント発生以降のアクション/フローをインシデント対応を行う各部署の担当者が時系列でシミュレートする演習サービスです。具体的なインシデントシナリオによる検証を通じて、対応手順の定着化や手順の抜けや漏れを洗い出します。更に、客観的な立場から貴社の組織力を評価・検証し、改善提言を含めた報告まで行います。

※CISO：Chief Information Security Officer（情報セキュリティ最高責任者）

「インジェクト型」「シミュレート型」とも、机上演習に先立ち、既存文書の確認などの事前準備を経てお客様個別の演習シナリオを策定。また、演習中の参加者によるディスカッション内容やアンケート結果の分析を踏まえて改善案などをまとめ、結果報告を行います。全体に要する期間は3ヵ月間程度となります。
セキュリティに関するコンサルティングや緊急対応で実績のあるコンサルタント陣が講師を務めます。お客様個別のシナリオでリアリティのある演習を実施し、客観的な評価と改善に向けての提言を得られる点が、本サービスにおける最大の特長です。