サイバー演習

サイバー演習は、実際に起こり得るサイバー脅威に備える確固たる土台になります。

サイバー脅威の頻度や深刻度が増大し、日を追うごとに規制環境が厳格化される反面、アジア企業の3社に1社は、サイバーインシデント対応の計画や検査に未着手のままです。
サイバーインシデントへの対応計画を導入済みの企業でも、往々にして、対策と手法の面でギャップを抱えています。経営幹部や従業員も、サイバーセキュリティインシデントに伴う財務面やオペレーション面、信用面への影響を抑えるサイバーリスク対策が不十分です。
サイバーインシデント対応計画やサイバーインシデント検査が充実した企業に比べて、サイバーインシデント対応計画が不十分または未着手の企業は、サイバーリスクに起因する損失や費用の度合いが平均で41%も高くなっています。

多くの場合、サイバーインシデント対応の準備不足の原因は、サイバー演習の未実施にあります。本来は、自社に固有のサイバーリスクの課題や懸念事項を踏まえて自主的にサイバー演習を行い、実践的な知見や確かな成果を得ておくべきです。

サイバーセキュリティ対策が不十分であれば、サイバーインシデントの悪影響が瞬く間に広がり、被害も拡大します。だからこそ、すべての組織に突き付けられている問いがあります。
「御社のサイバーインシデント対応計画は、実践的な検証に耐えられますか？」
 

マーシュアジアのサイバー演習を導入する

マーシュアジアのサイバー演習は、効果が実証された4段階のアプローチで構成されています。組織内のサイバー資産に対する現実的な脅威を想定し、サイバーインシデント対応計画の堅牢性を検証します。通常、6～8週間でサイバー演習の全プロセスが完了します。
 

ステージ1：現行のサイバーインシデント対応計画の確認／新計画の策定

最初に、御社の体制やサービス内容に関する深い理解に努めます。このサイバー演習に参加する経営幹部や取締役を特定し、現行のサイバーインシデント対応や危機管理計画、手順、過去の演習記録を確認します。
サイバーインシデント対応計画が未策定の場合、業界標準やサイバー習熟度、御社固有の要件に合致するサイバーインシデント対応計画の策定を支援します。
 

ステージ2：シナリオ設計

御社の合意を得た目標に基づいて、サイバー演習の範囲や指標、サイバー演習のシナリオを定義します。

実践的かつ適切なサイバー演習シナリオを設計するために、ランサムウェアや情報漏洩など、御社に最も甚大な悪影響を及ぼし得るサイバーセキュリティインシデントの種類を検討します。組織体制や業務運営、参加者の役割や職責も考慮して、サイバー演習中に、個人や組織の各階層に適切かつ連続的な負荷をかけていきます。

ステージ2の最後には、参加者がサイバーインシデント対応に関する知識を体系化するためのセッションを開催し、サイバー演習に備えて詳細な資料を配布します。

ステージ3：サイバー演習の実施

危機シナリオやワークフロー、指示事項を明確化したうえで、計画どおりに、緻密なサイバー演習を実施します。インシデント後に発生した影響を効率的／効果的に抑えられるのか、参加者の取り組みをリアルタイムで検証します。

参加者の意思決定能力に留まらず、部署や職位を横断して連携する能力も判定します。

ステージ4：サイバー演習の評価

サイバー演習後には、詳細な演習実施レポートを作成します。訓練へのフィードバックや所見、良かった点を記載し、インシデント対応におけるギャップを明らかにします。
優先順位を付けて助言することで、十分な情報に基づいて今後の対策を講じ、サイバーインシデント対応や危機管理の手法を強化することができます。

サイバー演習の成果

演習の主な成果は、下記のとおりです。

• マーシュのサイバー保険エキスパートの力を借りながら、社内のサイバーインシデント対応や危機管理手法を強化させ、サイバー保険の十分な引受キャパシティを獲得するための要件を充足できます。
• ステークホルダーが各自の役割や職責を理解し、執行する支えになります。
• 財務面やオペレーション面、信用面の悪影響を最小限に抑えるべく、適切な措置を講じることができます。
• 危機的事象の発生時に、社内外で効果的に意思疎通を図ることができます。

  ¹Ponemon Institute and IBM Security. Cost of a Data Breach Report 2023.