読みました! 「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」
こんにちは、丸山満彦です。
プリファードネットワークのCISO, CPOを務める高橋正和さんの著書、「CISOのための情報セキュリティ戦略 - 危機から逆算して攻略せよ」[amazon] を読み終えました。。。
本書がどんな本かは、前書きから、、、
セキュリティ事件・事故のシナリオに基づいた机上演習フレームワークをCISO-PRACTSIEと呼称し、経営者がセキュリティの文脈を理解し、CISOを始めとしたセキュリティ担当者が、経営視点や事業視点を身につける機会として事件・事故を想定し、そこから逆算して対策の検証を行う手法を提案します。
詳細に、丁寧に書かれていますね。。。
参考になるところが、あちこちにあると思います。是非是非。。。
ところで、この机上演習ですが、、、以下の資料を参考にしていますね。。。
● JPCERT/CC
・2016.03.31 [PDF] 高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて
図 18:様々な演習と効果
ただ、このJPCERT/CCのガイドの図はどこからきたのですかね。。。
この辺り(国家安全保障省のHomeland Security Exercise and Evaluation Program)からですかね。。。これ自体は2020年のものですが、2013年発行の前のバージョンがあったのです。。。
● Homeland Security Agency
・Homeland Security Exercise and Evaluation Program (HSEEP)
Homeland Security Exercise and Evaluation Program | 国土安全保障演習と評価プログラム |
Exercises are a key component of national preparedness — they provide the whole community with the opportunity to shape planning, assess and validate capabilities, and address areas for improvement. HSEEP provides a set of guiding principles for exercise and evaluation programs, as well as a common approach to exercise program management, design and development, conduct, evaluation, and improvement planning. | 演習は国家的な準備態勢の重要な要素であり、地域社会全体に計画を形成し、能力を評価・検証し、改善すべき分野に対処する機会を提供するものである。 HSEEPは、演習と評価プログラムのための一連の指導原則と、演習プログラムの管理、設計と開発、実施、評価、および改善計画に対する共通のアプローチを提供する。 |
Through the use of HSEEP, the whole community can develop, execute, and evaluate exercises that address the preparedness priorities. These priorities are informed by risk and capability assessments, findings, corrective actions from previous events, and external requirements. These priorities guide the overall direction of an exercise program and the design and development of individual exercises. | HSEEPの利用により、地域社会全体が準備の優先順位に対応した演習を開発、実施、評価することができる。 これらの優先事項は、リスクと能力の評価、所見、過去の事象からの是正措置、および外部要件によってもたらされる。 これらの優先順位は、演習プログラムの全体的な方向性と個々の演習の設計と開発の指針となる。 |
These priorities guide planners as they identify exercise objectives and align them to capabilities for evaluation during the exercise. Exercise evaluation assesses the ability to meet exercise objectives and capabilities by documenting strengths, areas for improvement, capability performance, and corrective actions in an After-Action Report/Improvement Plan (AAR/IP). Through improvement planning, organizations take the corrective actions needed to improve plans, build and sustain capabilities, and maintain readiness. | これらの優先順位は、計画者が演習の目的を特定し、演習中に評価するための能力と整合させる際の指針となる。演習の評価では、演習の目的および能力を満たすために、強み、改善すべき点、能力のパフォーマンス、および是正措置を事後報告/改善計画(AAR/IP)に文書化することによって評価する。改善計画を通じて、組織は計画を改善し、能力を構築・維持し、即応性を維持するために必要な是正措置を講じる。 |
・[PDF] Homeland Security Exercise and Evaluation Program Doctrine | 国土安全保障演習・評価プログラムのドクトリン |
・[PDF] El Programa de Evaluación y Ejercicios de Seguridad Nacional | 国土安全保障評価演習プログラム |
・[PDF] HSEEP Information Sheet | HSEEP情報シート |
・[PDF] HSEEP Frequently Asked Questions 2020 | HSEEPよくある質問2020 |
・[PDF] Homeland Security Exercise and Evaluation Program Doctrine
演習は、大きく
- ディスカッションベース:セミナー、ワークショップ、机上演習(TTX)、ゲーム
- オペレーションベース:ドリル、機能演習 (FE) 、総合演習(FSE)
の2パターンを示していますね。。。
1. ディスカッションベースの演習
ディスカッション形式の演習には、セミナー、ワークショップ、机上演習(TTX)、ゲームなどがある。この種の演習は、計画、方針、手順、および協定に慣れ親しんだり、新しいものを開発したりするものである。ディスカッションベースの演習は、戦略的、政策的な問題に焦点を当て、ファシリテーターやプレゼンターが議論をリードし、参加者が演習の目的を達成するために動き続けるものである。次の表(表2.3, 表2.4、表2.5、表2.6)には、それぞれのタイプのディスカッションベースの演習の重要な情報が記載されている。
表2.3:ディスカッション型演習の種類:セミナー
セミナー | |
当局、戦略、計画、方針、手順、プロトコル、リソース、概念、およびアイデアについて参加者に説明する、または概要を提供するディスカッションベースの演習。 | |
要素 | 考察と活動 |
目的 | • 共通の理解の枠組みを提供する |
• 既存の計画、方針、または手順を開発または大きく変更するための良い出発点を提供する。 | |
構造 | • 通常、複数のプレゼンテーション、主題専門家(SME)パネル、またはケーススタディ・ディスカッションの形式で行われる。 |
• 講義形式 | |
• セミナーのファシリテーター/プレゼンターが主導する | |
• 参加者からのフィードバックやインタラクションが少ない | |
参加者の目標 | • 省庁間の能力または管轄区域間の業務に対する認識を得る、または評価する。 |
• 将来の能力に関する目標を設定する | |
実施上の特徴 | • 最小限の時間的制約 |
• 少人数でも大人数でも効果的 | |
成果 | • 議論、提起された問題、および(適切な場合)これらの問題に対処するためのアクションアイテムを記録した報告書 |
• アフターアクションレポート(AAR)/改善計画(IP) |
表2.4:ディスカッション型演習の種類:ワークショップ
ワークショップ | |
政策、計画、手順の策定によく用いられる議論ベースの演習。 | |
要素 | 考察と活動 |
目的 | • 製品の実現や構築にフォーカスした参加者同士の交流の活発化 |
• 目的、製品、または目標が明確に定義され、特定の問題に焦点を当てたものであること | |
構造 | • ディスカッションができる場での個人の集まり |
• 講義、プレゼンテーション、パネルディスカッション、ケーススタディーディディスカッション、または意思決定支援ツール ワーキングブレイクアウトセッションのファシリテーション ワークショップのファシリテーター/プレゼンターがリードする | |
参加者の目標 | • グループでの製品開発 |
• コンセンサスを得る | |
• 情報の収集または共有 | |
実施上の特徴 | • 少人数でも大人数でも効果的 |
• 関連するステークホルダーが幅広く参加 | |
• 明確な目的・目標に基づく実施 | |
• 講義形式ではなく、参加者同士のディスカッション形式 | |
• 同じようなグループと課題の一部を探索するために、頻繁にブレイクアウトセッションを利用する | |
成果 | • 緊急時対応計画 |
• 相互援助協定 | |
• 標準作業手順書 | |
• 事業継続計画 | |
• ワークショップ概要報告 | |
• アフターアクションレポート(AAR)/改善計画(IP) |
表2.5:ディスカッション型演習のタイプ:机上演習
机上演習 Tabletop Exdercise (TTX) | |
概念的な理解を促進し、長所と改善点を明らかにし、計画、政策、または手続きに関する認識の変化を達成するために、さまざまな問題について対話を行うことを目的とした、シナリオに応じたディスカッションベースの演習である。 | |
要素 | 考察と活動 |
目的 | • 演習シナリオに関する様々な課題についての議論を行う |
• 概念的な理解を促進し、強みと改善点を明らかにする、または認識の変化を達成する | |
構造 | • シナリオを提示し、模擬的な時間における事象を説明する |
• プレイヤーは、ファシリテーターから提示された問題のリストに自分の知識とスキルを適用する | |
• 問題点をグループで話し合い、解決に至り、後の分析のために文書化することができる | |
• 全体会議または分科会(複数可) | |
• ファシリテーター(複数)によるディスカッション | |
• プレゼンテーション | |
参加者の目標 | • 一般的な認知度の向上 |
• 役割と責任の理解を深める | |
• 計画や手順の妥当性確認 | |
• 定義されたインシデントにおけるシステムの種類を評価し、コンセプトを議論する | |
実施上の特徴 | • 経験豊富なファシリテーターが必要 |
• 徹底討論 | |
• 問題解決型の環境 | |
• 参加者全員が議論に貢献するよう奨励し、無過失責任な環境で意思決定していることを再認識させる必要がある | |
成果 | • 現行の計画、方針、手順の改訂を推奨する。 |
• アフターアクションレポート(AAR)/改善計画(IP) |
表2.6:ディスカッション型演習の種類:ゲーム
ゲーム | |
個人またはチーム向けに設計された、競技または非競争環境での構造化されたプレイであり、議論に基づいたエクササイズ。プレーヤーが参加するイベントであり、その実行には明確なルール、データ、手順が指導される。ゲームは、実際の状況または仮想の状況を描写し、参加者がもっともらしい意思決定と行動を確実に行えるように設計されている。ゲームは、トレーニングの強化、チームビルディングの活性化、作戦・戦術能力の向上などに利用することができる。 | |
要素 | 考察と活動 |
目的 | • プレイヤーの意思決定や行動の帰結を探る操作シミュレーション |
• 重要な意思決定ポイントの特定は、ゲーム評価の成功に大きく影響する | |
構造 | • 通常、2つ以上のチームが参加できる環境において、実際の状況または仮想の状況を想定したルール、データ、手順を使用する |
• 意思決定は、演習のデザインと目的によって、ゆっくりじっくり行うことも、素早くストレスのかかることを行うこともできます | |
• ゲームのオープンで意思決定に基づく形式は、エクササイズの効果を拡大する「もしも」の質問を取り入れることができる | |
• ゲームのデザインによって、プレイヤーの行動の結果は、事前に記述される場合と動的に決定される場合がある | |
参加者の目標 | • 意思決定のプロセスと結果を探る |
• 既存プランの「what-if」分析の実施 | |
• 既存および潜在的な戦略を評価する | |
実施上の特徴 | • 実際に使用するリソースはない |
• 多くの場合、2つ以上のチームが参加する | |
• ゲームの進行に応じて複雑化するモデルやシミュレーションが含まれる場合がある | |
• あらかじめ用意されたアクティビティが含まれる場合と含まれない場合がある | |
成果 | • 計画、方針、手順の妥当性確認、またはリソース要件の評価 |
• アフターアクションレポート(AAR)/改善計画(IP) |
2. ディスカッションベースの演習
オペレーションベースの演習には、ドリル、機能演習(FE)、および総合演習(FSE)が含まれる。これらの演習は、計画、方針、手順、および合意を検証し、役割と責任を明確にし、リソースのギャップを特定するものである。運用に基づく演習は、通信の開始、人員及び資源の動員などのリアルタイムの応答を含む。次の表(表2.7、表2.8、表2.9)は、それぞれのタイプのオペレーションベースの演習のための重要な情報を提供する。
表2.7:オペレーションベースの演習の種類:ドリル
ドリル | |
オペレーションに基づく演習で、単一のオペレーションまたは機能を検証するためによく採用される。 | |
要素 | 考察と活動 |
目的 | • 単一の機関/組織における特定の機能または能力を検証するため調整され、監督された活動で、多くの場合、単一の操作または機能を検証するために使用される |
• 新しい機器のトレーニング、手順の検証、または現在のスキルの練習と維持の提供 | |
構造 | • 単体でも、連続したドリルとしても使用可能 |
• 明確に定義された計画、手順、プロトコルを実施する必要がある | |
参加者の目標 | • 新しい手順、方針、および/または機器を評価する |
• スキルの練習と維持 | |
• 今後の演習に備える | |
実施上の特徴 | • 即時フィードバック |
• リアルな環境 | |
• ナローフォーカス | |
• 単体での性能 | |
• 結果は、確立された基準に照らして測定される | |
成果 | • 計画が設計通りに実行されるかどうかを判断する |
• さらなるトレーニングが必要かどうかを評価する | |
• ベストプラクティスの強化 | |
• アフターアクションレポート(AAR)/改善計画(IP) |
表2.8:オペレーションベースの演習の種類。機能演習
機能演習Function Exercise(FE) | |
オペレーションベースの演習は、現実的なリアルタイムの環境下で、能力や機能をテストし評価するように設計されているが、リソースの移動は通常シミュレートされる。 | |
要素 | 考察と活動 |
目的 | • 能力、複数の機能及び/又は下位機能、又は相互依存のある活動群を検証し評価する。 |
• 管理、指揮、統制の機能に関わる計画、方針、手順、スタッフについて演習する。 | |
• 危機的状況下で、確立されたプラン、ポリシー、手順を適用する | |
構造 | • 現実的な演習シナリオでイベントが投影され、イベントの更新により、通常、管理者レベルでの活動が促進される |
• コントローラは通常、マスターシナリオイベントリスト(MSEL)を使用して、参加者の活動が事前に定義された境界線内に収まるようにする | |
• 評価者は行動を観察し、確立された計画、方針、手順、標準的な実践(該当する場合)に照らして比較する。 | |
参加者の目標 | • 能力の検証・評価 |
• 計画、方針、手続きに重点を置く | |
実施上の特徴 | • 現実的な環境で実施 |
• 通常、リソースと人員の配置をシミュレートしている | |
• シミュレーションセルとマスターシナリオイベントリスト(MSEL)の活用 | |
• シミュレーターはシナリオの要素を注入することができる | |
• コントローラーと評価者を含む | |
成果 | • 緊急時対応センター(EOC)、指揮所、本部、スタッフの管理評価 |
• パフォーマンス分析 | |
• 協力関係の強化 | |
• アフターアクションレポート(AAR)/改善計画(IP) |
表2.9:オペレーションベースの演習の種類:総合演習
総合演習 Full-Scale Exercise (FSE) | |
演習の種類の中で最も複雑で資源を必要とし、多くの場合、複数の機関、管轄区域/組織、および資源のリアルタイムの移動を伴うオペレーションベースの演習である。 | |
要素 | 考察と活動 |
目的 | • ICS(インシデント・コマンド・システム)のような協力体制のもとで活動する多くのプレーヤーを含むことが多い |
• ディスカッション形式の演習で作成され、以前の小規模な演習で磨かれた計画、方針、手順の実施と分析に重点を置いている。 | |
構造 | • イベントは演習シナリオを通して投影され、イベントのアップデートによりオペレーションレベルでの活動が促進される |
• 複数の機関、組織、管轄区域が関与していること | |
• MSELの使用は、プレイヤーの行動を促進する | |
• SimCellコントローラは、シナリオ要素を注入する | |
• 他のタイプのエクササイズに比べ、必要なサポートのレベルが高い可能性がある | |
• 複雑な問題を提示し、実際の事件を反映させたリアルな環境で実施 | |
参加者の目標 | • 計画や手順で示された役割と責任を実証する |
• 複数の機関、組織、管轄区域の間の調整 | |
実施上の特徴 | • 迅速な問題解決、クリティカルシンキング |
• 人材とリソースの動員 | |
• 運動場は通常、多くの活動が同時に行われる大規模なものである | |
• サイトロジスティクスの綿密なモニタリングが必要 | |
• 特に小道具や特殊効果の使用に関する安全性の問題を監視する必要がある | |
• 計画や手順で示された役割と責任を実証する | |
成果 | • 計画、方針、手順の妥当性確認 |
• リソース要求の評価 | |
• アフターアクションレポート(AAR)/改善計画(IP) |
« JIS X 9252:2023 情報技術―オンラインにおけるプライバシーに関する通知及び同意 | Main | ENISA European Cybersecurity Skills Framework (ECSF) User Manual & Role Profiles (2022.09.19) »
Comments