『Project Zero Trust』のクライマックス(Chapter 10)で、最も効果的だった施策は、数千万円のシステムではなく、会議室で行われた「机上演習(Tabletop Exercise)」でした。
しかし、いざ日本企業でこれをやろうとすると、「何を話せばいいかわからない」「白けて終わる」というのが関の山です。
そこで今回は、情シス担当者がファシリテーター(司会)となり、役員・部長陣を「良い意味で追い詰める」ための完全台本を用意しました。
プリントアウトして、次回の定例会議の「余った30分」で実施してみてください。
この記事は『Project Zero Trust』特集の一部です。全記事一覧はこちら↓
シナリオ1:CEOのPC紛失(初級編)
【設定】
金曜日の夜22時。社長が会食帰りのタクシーに、会社貸与のノートPCを置き忘れました。PCには未発表のM&A資料が入っています。社長は酔っており、パスワードメモをPCケースに入れていた可能性があります。
【ファシリテーター(あなた)の台詞】
「さて、社長から『PCをなくした』と電話がありました。今、22時15分です。ここからどう動きますか?」
【意地悪な質問リスト(Injects)】
【狙い】
「スピード(ワイプ)」を取るか、「証拠保全/発見の可能性」を取るか。正解はありません。「誰がその決断の責任を取るか」をあぶり出すのが目的です。
シナリオ2:ランサムウェア感染(上級編)
【設定】
月曜日の朝9時。基幹システムの画面が赤くなり、「全てのデータを暗号化した。48時間以内に1億円払え。支払わなければ顧客データをダークウェブに公開する」と表示されています。
【ファシリテーター(あなた)の台詞】
「画面はロックされました。業務は一切できません。犯人からのカウントダウンが進んでいます。さあ、どうしますか?」
【意地悪な質問リスト(Injects)】
【狙い】
技術的な復旧よりも、「事業継続(BCP)」と「対外コミュニケーション(Crisis Comm)」の準備不足を露呈させます。
まとめ:失敗こそが成功
おそらく、最初の演習は「沈黙」か「責任のなすりつけ合い」で終わるでしょう。
それでいいのです。
ファシリテーターの最後の一言はこうです。
「これが訓練で本当によかったです。本番までに、今日出た課題(連絡網がない、権限が不明)を潰しておきましょう」
この一言で、あなたの評価は「パソコン係」から「リスク管理の参謀」へと変わります。
コスト0円、効果絶大の演習を、ぜひ試してみてください。
👉『Project Zero Trust』特集トップへ戻る
この連載の元となった書籍『Project Zero Trust』は、技術書とは思えないほどドラマチックな小説です。 詳しい内容はこちらの書評記事で紹介しています。
