｢サイバー攻撃｣メタバースで"訓練"受ける効用 大日本印刷､実践的なシナリオで研修を展開

「インシデント発生時には、情報システム部門に加え、被害を受けた事業の継続を判断する事業部門、ステークホルダーへの状況説明を担う広報部門など、複数の組織の関係者が連携して対処しなければならない。とくに経営層が適切な対応を行うには、サイバー攻撃による自社、そして社外への影響を事前に想定しておくことが重要で、その点で机上演習は大いに役立つ」（谷氏）

ただ、現状では経営層や事業部門のサイバーセキュリティに対する認識は十分とは言えない。

実際、企業のセキュリティ担当者からは「経営層がサイバー対策の予算化を理解してくれない」「経営層向けにインシデント対応訓練を計画したが、そのためにだけに集まるのが難しい」といった声のほか、「事業部門がサイバー攻撃への技術的対策ツールをインストールしようとしない」「事業部門がサイバー対策ポリシーを渋る」といった声も漏れてくる。

いわば、経営層を含め、組織全体としてサイバー攻撃へのリアリティが希薄であり、現状は多くの企業でセキュリティ部門や情報システム部門のみが対応せざるをえない状況となっている。

サイバー攻撃を経営層が自分事として受け止めるには

しかし、インシデントが発生した際には全社的に対応しなければならない。とくに経営層が自分事としてサイバー攻撃を受け止めていなければ、迅速に解決するのは難しいだろう。そこで、よりリアリティをもって自分事化できるようにと考えられたのがメタバースを利用することだった。谷氏が述べる。

「自然災害は誰もが経験知があって想像しやすいが、サイバー攻撃は未知であることが多くなかなか想像することができない。組織全体のサイバー攻撃に対するハードルを下げるためにも、現実が想像しやすい環境で対処を経験し、自分事として有事にやるべきことを議論する必要がある」

チャットなども使って互いに情報を共有しながら危機に対応していく（写真：大日本印刷提供）

メタバース演習では、4人が1組となってCISO（最高情報セキュリティ責任者）やCSIRTリーダー、事業部長、広報部長の役割に分かれ、各人のPCからメタバース空間に参加する。