近年、難易度の高まる金融機関のサプライチェーンに関するリスク管理において、サードパーティ管理は今後ますます重要視されていくと考えられます。シリーズ3回のうち本稿では、金融機関がサードパーティリスク管理を求められることとなった前段として、従前の外部委託先管理が限界を迎えている現状やその根拠に焦点を当てて整理します。
Game of Threats™ ‐サイバー攻撃とインシデントレスポンスを疑似体験する対戦型ゲーム‐
サイバー攻撃が日々高度化、多様化する近年、企業は自社のインシデントレスポンス態勢の有効性を検証し、セキュリティインシデント発生時に迅速かつ効果的な対応を行うための継続的改善が求められています。
PwCコンサルティング合同会社(PwC)ではサイバー攻撃とインシデントレスポンスを疑似体験できる対戦型ゲームとしてGame of Threats™を提供しています。
Game of Threats™の特徴
Game of Threats™は、サイバー空間における攻撃とそれによって引き起こされるビジネス上の事象を、攻撃者と標的企業双方の立場で、疑似体験できる対戦型ゲームです。
参加者は2つのチーム(攻撃者あるいは標的企業)に分かれ、タブレット端末上で攻撃と対応を交互に繰り返して、ゲームを進めてゆきます。
攻撃者チームはDDoS攻撃(Distributed Denial of Service attack)やフィッシング詐欺などサイバー攻撃におけるさまざまな攻撃手法を用いて企業を攻撃し、システムを停止させたり、情報を窃取したりします。企業チームは共有モニターに表示される最低限の情報を基に、迅速かつ効果的な対策を選択することが要求されます。限られた時間と予算というプレッシャーの中で最適な判断を下すことが勝利への鍵となります。
参加者は、ゲームを通して、どのような攻撃が企業にダメージを与えるのか、どのような対応が効果的な対策となるのかを学ぶことができます。
Game of Threats™の提供方式
Game of Threats™は、PwCのプロフェッショナルがファシリテーターとなり、ゲームキットを使って演習を提供するソリューションです。海外では既に多くの企業が活用しており、経営幹部やセキュリティ管理者が参加する企業内演習を展開しています。日本では、英語版と日本語版のゲームキットを用意しています。
Game of Threats™には、さまざまな利用方法があります。技術的なことに精通したセキュリティ管理者が、サイバー攻撃のプロセスを再認識するのに役立つほか、経営幹部やコンプライアンス部門、広報部門、人事部門などがゲームに参加し、インシデントレスポンスにおける役割分担や情報伝達フローの確認、重要事項判断の訓練などを行うことが可能です。
チーム |
学べる内容 |
経営幹部など参加者 |
セキュリティ管理者 |
攻撃者 |
どのような企業が狙われやすいのか |
○ |
○ |
どのような攻撃手段があるのか |
|
○ |
|
どのような攻撃シナリオがあるのか |
|
○ |
|
攻撃者はどのような思考パターンを取るのか |
|
○ |
|
企業 |
サイバー攻撃によってどの程度のビジネスインパクトがあるか |
○ |
○ |
サイバー攻撃に対してどのような セキュリティ対策が効果的か |
|
○ |
|
サイバー攻撃に対してどのような体制が効果的か |
○ |
○ |
|
サイバー攻撃による被害からどのように復旧するか |
|
○ |
|
インシデントレスポンスにおける円滑な意思疎通の重要性 |
○ |
○ |
|
共通 |
サイバーセキュリティの最新動向 |
○ |
○ |
サイバーセキュリティの専門用語 |
○ |
○ |
