どうも、Fintech事業部の @ken5scal です

※コト細やかに書くつもりですが、書いた時のリスクがわからなくなってしまったので、かなりｱｯｻﾘ風味です。 ※具体的な話や図を見たい方はDMください。

NISC分野横断的演習に参加した話

我が国は「重要インフラのサイバーセキュリティに係る行動計画」に基づいて、重要インフラ１４分野を対象に「分野横断的演習」を定期的に実施しています。

https://www.nisc.go.jp/pdf/policy/infra/NISC_enshu_20221209.pdf

当社のFintech事業部門が出向する三井物産デジタル・アセットマネジメント株式会社（以下、MDM）もこの一分野に当たります。 どれほど新興企業であっても、ガバナンスを整備しなければなりません。 プロダクトとの大きな違いは（環境による細則は異なれどとなれど）この要件が事前に定められていることです。

自社を起点にして系全体へのリスクの波及、つまりシステミックリスク対策を適切に実施することが当社を含む重要インフラ事業者の業務の１つです。 本演習はそういった事業者の現状を確認するにはうってつけです。 具体的には１組織におけるEmotetのフェーズが最後まで進んでから感染が発覚し、それに対し組織がHogeHogeHoge（自粛）するような内容です。 ここに現在のMDM独自の環境をちょちょいと追加したシナリオを作り、MDMで定めた危機管理規程が機能するかを検証しました。 特に危機管理本部の統制力の発揮を期待するシナリオになりました。

参加者は以下の通りです。 * 代表取締役社長 * 情報システム・セキュリティ管理者 * リスク管理者 * コンプライアンス部 * Alterna事業部のエンジニア

ウォークスルーな机上訓練だしどうにかなるだろ！と思ったら、やはり初回は中々うまくいきませんでしたね。 サイバー演習についてはまだポピュラーではありませんので致し方無いと思います。重要なのは積み上げです。 見つかった様々な課題は、予想していたものもあれば、まるでそうでないものもありました。 あらだな課題の発見のためにも、どんな形態でもいいので訓練は実施すべきですね。

最後に

本当はどんなシナリオにしたか詳しく書いていました。本当です。 また、どのようなところで課題が抽出されたかも書くつもりでした。本当です。 しかし、現段階で我々はかなり成長途上であり、素直にできないことを晒すのは大きなリスクと推察し、除外しました。 もし、裏で聞きたいというかたがいらっしゃいましたら、ご連絡ください。