Scribble at 2022-11-28 11:47:09 Last modified: 2022-11-29 09:19:20
CISA Tabletop Exercise Packages (CTEPs) are a comprehensive set of resources designed to assist stakeholders in conducting their own exercises. Partners can use CTEPs to initiate discussions within their organizations about their ability to address a variety of threat scenarios.
当社が ISMS の認証を受けていたときも、「訓練」というキーワードで普段からの備えが重要だというアドバイスはもらっていたのだけれど、なかなか準備が大変だし、実行してもらうチャンスを作る根回しも手がかかる。経営会議などで発案・発議したり表面的な賛同を得るまでは簡単でも、本当に実行してもらうのは難しいのが情報セキュリティの awareness である(マネジメント全般にも言えることだが)。
中でも、上記で紹介しているような table top の模擬訓練の材料は非常に少ないし、適切な指導ができる人も少ないため、情報セキュリティ関連のコンサルや認証機関でも、この手のアドバイスや研修は殆どやっていない。僕も ISMS で15年近くに渡って BSI Japan の研修を受けたり認証機関のアドバイスを聞いてきたのだが、社内の実地演習は社内規程を作成するのに匹敵するくらい、事業、業務、業容、そして社内の人間関係など色々な特徴に最適化しないと実施にこぎつけるのは難しく、やっても効果が乏しかったり、すぐに形骸化してしまう。
とはいえ、何もないところから作っていくのは更に難しいので、僕も上記のようなシナリオ形式でディスカッションしてもらうスタイルも検討している。ただ、これはリモート・ワークが業務スタイルのスタンダードとなっている現状では、幾つかの点で変更する余地があろう。あと、部署ごとやグループごとに実施してもらうよりも、やはりオンラインでアンケートやアドベンチャー・ゲーム式で実施した方が、実際に手を付けてもらいやすいだろうとは思う。
ただ、どういうものを作ろうと管理系の部署で誰もが難しいと感じるのは、いちばん取り組んでほしい人材に限って、この手の施策を軽視するという事実だ(殆ど経営における「真理」とすら言っていい)。しかし、これが「真理」であるのは、考えようによっては当然のことである。なぜなら、こういう施策が必要な人材がいるからこそ実施し続けなくてはいけないからだ。そして、やはりそれは自分たちの交渉力や牽制力が不足しているという反省にもなろう。しばしば経営学や自己啓発の本が教えるとおり、馬鹿に自発的な勉強を期待することはできないし、無能を有能な人材に育てることはできないのだ。