インシデント対応ボードゲームを使ったセキュリティ教育

3行で言うと…


前回のブログは7月19日で、「ようやく梅雨明け宣言?」などと書いていましたが、早いもので季節はもう「秋」ですね。でも、いつまでも「飽き」のこないブログをお届けしたいと思う田中です。

さて、ファーエンドテクノロジーでは全社員に対してISMSの教育を実施しているのですが、これまで座学と効果確認テストの繰り返しでした。座学って、受ける側が私のような学校の授業で内職を繰り返していたような人間には苦痛ですが、実施する側も教材の準備や当日の運営に相当の労力を必要とします。

「教育はしなければならないけど、マンネリや退屈は能率を著しく低下させる」これはISO/IEC 27001認証取得企業でセキュリティを担当している方でしたら、大概の方が抱えている悩みではないでしょうか。

「どうせやらなきゃいけないなら、楽しいほうがイイ!」この人類共通の要求に、担当の岩石取締役が辿り着いた答えがトレンドマイクロ社が提供している「インシデント対応ボードゲーム」でした。どなたでもダウンロードしてご利用いただけます。

インシデント対応ボードゲーム

このゲームは、企業においてインシデント対応に関与するメンバーを対象に、1チーム4~6名でプレイするものです。架空の組織を舞台に、1ラウンド40分(全2ラウンド)のプレイ時間の中、ゲーム内で発生するセキュリティインシデントに対して、プレイヤーはそれぞれの立場・視点(CIOや事業責任者、セキュリティ担当者など)で議論しながら、対応方法を決めて進めていきます。

ダウンロードして印刷するものは「ゲーム盤(プレイシート)」「カード(イベントとアクションの2種類)」「資産ポイント」「ブランドポイント」「アクション決定シート」「公式見解シート」。

このゲームの進行は簡単にご説明しますと、

  1. 最初に参加者は現実の役職と関係なく、ゲームでの役割を決めます
  2. CIO役の人がイベントカードを3枚引いて、何が起こっているのかを想定します
  3. アクション決定シートで影響度合いを確認して
  4. それぞれの役割で対応について議論します
  5. 結論が出たらアクションカードを表にして、結論に一番近いもので優先度の高いものを2枚選びます
  6. イベント・アクションカードに記載されているポイントの増減に従い、資産とブランドのポイントを増減させます

という流れになります。 ファーエンドテクノロジーでは、5人1組で2日に分けて実施しました。


初日

参加者は、ゲームマスターである岩石取締役からゲームの主旨とルールの説明を受けます。なお、ゲームマスターはゲームに参加できません。


想像以上に考えさせられます

初めてということもあり、若干時間は予定をオーバーしましたが、それぞれが役割に応じて議論できたので非常に好奇心を刺激されました。

2日目は私がゲームマスターになりました。前回のプレイで架空の会社が舞台であるとはいえ、あまりに当社に関わりのないインシデントでは教育効果に疑問が生じるということで、インシデントカードを数枚取り除いてのスタートです。


2日目

全体を通して、個人的には「面白い!」と感じました。ISMSの教育方法でマンネリを打開したい方にはオススメです。

こちらの記事もオススメです!
内部監査員を経験しました
情報セキュリティの国際規格ISO/IEC27001の認証取得の取り組みの一つとして内部監査を実施しました
新入社員が社内ブックマーク共有アプリの開発を通して感じたこと
社内ブックマーク共有アプリの開発を通して、学んだことや特に難しかったこと、苦労したことについてです。
Redmineを改善するパッチを書いて、OSSへの貢献もする仕事
Redmineのパッチを書いて改善活動を行っています。
Linuxコンテナお気軽管理(その1): 稼働状況編
脆弱性調査ツールのVulsは導入が簡単でDockerやLXDのコンテナも簡単にスキャンできます。
代表の前田にファーエンドテクノロジーとRedmineのことを聞いた
会社の成り立ちとRedmineをビジネスにしたことについてインタビューをしました。
ファーエンドテクノロジーからのお知らせ(2017/08/30更新)
Redmineの最新情報をメールでお知らせする「Redmine News」配信中
新バージョンやセキュリティ修正のリリース情報、そのほか最新情報を迅速にお届け