三つ目は「平常時の対応」です。

インシデント発生時の対応は、平常時にどれだけ準備ができているかにも依存しており、平常時に活動を正しく定義し実施していない場合、インシデント発生時に混乱が起こり対応が後手に回りかねません。登録セキスペは平常時にセキュリティ対応組織の設計や活動の支援を行うなど、活動が求められることになる…とのこと（‘o‘ : !! 脆弱性対応、事象発生の際の事象分析、ユーザ教育の方法などについて説明されています。

6章の「その他インシデント関連業務」に興味をひかれたのでこちらについて少し。

昨今、どこの現場でも「標的型攻撃メール訓練」が行われています。（訓練期間はいつもドキドキしていますが、私はなかなか被害者役は当たらず対象になることは稀です（笑））標的型攻撃メール訓練では、Step1～４の段階を意識して実施するとよいとのこと。下記資料に記載の通り、ユーザはStep.2or3の行動がとれることを目標にする（メールや添付資料に違和感を感じたらシステム管理部門へ報告）と効果が挙げられるようです。学校・職場の避難訓練と同じく、有事の際の動きを体に叩き込むことで訓練効果が上がります。

https://www.ipa.go.jp/files/000053336.pdf

ほかに企業が実施できるセキュリティ訓練や演習の種類として、講習資料には下記が挙げられています。

1.サイバー演習（シナリオ型：自組織）

　自組織でセキュリティインシデントが発生した際のシナリオで訓練・演習

2.サイバー演習（シナリオ型：仮想組織）

　仮想的な組織にてセキュリティインシデントが発生した際のシナリオで訓練・演習

3.サイバー演習（技術型）

　セキュリティインシデントにおける技術を中心とした演習を実施

4.標的型攻撃メール訓練　

　従業員の標的型攻撃メールへの意識向上とエスカレーションフローの確認

5.事業継続能力確認

　インシデント発生時における自組織のビジネスやサービス視点での継続能力の確認

上記の中で1.4.5は経営層を巻き込んだ訓練・演習を実施するとよいとのことでした。理由は下記の通りです。

1.事業判断の実施

　インシデント発生時に経営層が判断を下せる情報が上がってくるかを演習・訓練により確認できる。

2.インシデントに関する説明

　事業に対して影響が発生した場合は、記者会見等で内外への説明責任が問われるため、日ごろの訓練・演習で自組織の状況を知っておく。

3.経営層を標的とした攻撃

　経営層のアクセス権や社会的信用を悪用するケースを想定。訓練により経営層自身がサイバー攻撃に対する意識を高めることができる。

資料に記載されているのは以上です。上記を踏まえ、企業のセキュリティ対策として経営層をまきこんだ訓練を実施したい場合、どんな演習ができるか考えてみると楽しそうです。

4.標的型攻撃メール訓練のみの対策訓練は各社が有償でサービスを提供しています。今後は5.経営層を標的とした攻撃、あるいは4.と5.を包括した1.サイバー演習（シナリオ型：自組織）も普及していくのかもしれません。中小組織では経営陣の対応公開含め実施していそうですね。

各自アイディアは自社にて提案してみてください（笑）良案であればホットなセキュリティサービスの構築へつながっていくかもしれません…！

にほんブログ村