情報セキュリティを学べるシミュレーションゲームがある。
ゲーミフィケーションというやつだ。
アドベンチャーゲームのように、ムービーが流れて選択肢、というのを繰り返してセキュリティインシデントを防ぐというようなもので、なかなか面白くて勉強になる。
トレンドマイクロ
法人向けセキュリティ教育・学習コンテンツ(https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/learning.html)
・サーバセキュリティビデオシミュレーションゲーム
病院のセキュリティ責任者となって、サイバー攻撃を防ぐ。
限られた予算の中で何を優先して対応するか結構迷う。
職員のセキュリティ意識が希薄だったり、規模の割に防御が甘かったりするところがリアル。
失敗すると社内SE的悪夢を味わうことになる。
・標的型サイバー攻撃ビデオシミュレーションゲーム
アプリ開発企業のCIOとして標的型攻撃を防ぐ。
新製品の発表というマーケティング面と情報セキュリティ面の優先度を考える必要がある。そう、システム面のことだけ考えればいいというものではないのだ。
標的型攻撃の兆候をいち早く潰していく必要がある。
・(番外)インシデント対応ボードゲーム
WEBコンテンツでなく、紙に印刷して使うボードゲームでインシデント対応を学べる。カードを引いて発生したインシデントに対して、何を優先し、何を諦めるか、それらは当然組織によるので正解がないのが面白い。
ただ、情シス1,2名、上司1名、更に上司(役員)1名位を巻き込む必要があるので、余程理解のある職場でないとできなそう。
一人情シスなのでやったことはないが、いつかはやってみたい。
IBM サイバーセキュリティーオペレーション:TERMINAL
https://www.ibm.com/security/digital-assets/cybersecurity-ops/terminal/#/jp-ja/
巨大な国際空港のアナリスト、マネージャー、経営陣のそれぞれの立場でサイバー攻撃に対応する。
空港では不審なアクセスやサイバー攻撃だけでなく、犬が逃げ出しただの、移植用の心臓を運ぶだの、マスコミ対応しろだの、あらゆることが同時多発的に起こり、都度優先度を考えて迅速に対応する必要がある。
この同時多発的に対応を迫られる緊張感は是非体験しておくべきだと思う。
丸わかりガイドもあった
https://www.ibm.com/blogs/security/jp-ja/challenge-terminal-game/
まとめ
こういったシミュレーターはサイバー攻撃を防げた、防げなかったというゲーム的な結果にばかり目が行きがちだが、重要なのはその過程で何をどう考え、どう決断したかだ。
ここで紹介したゲームは基本的に大きな組織の話で、一人情シスの自分には参考にならない話のように思えるかもしれないがそんなことはない。
大きな組織や人員がある場合はどんな対応が取れるか、予算があればどんな対応が考えられるか、という引き出しを持っておくことは大切だ。また、自分の組織でもせめてこれ位の対策は入れておきたい、という観点で見ることができる。
まあそう言いながらも成功するまでやるんだけどね。
コメント