実践力を重視するサイバーセキュリティ訓練
前回の記事では、担当者がマニュアルを読む程度の訓練では本当の緊急事態が発生した際太刀打ちできないことをご説明しました。多少の失敗があっても自分の頭で考え、できれば体を使った「実践的」な訓練が企業・団体の海外安全管理体制を改善することができます。
当サイトのこうした主張は目新しいものではありません。他の危機管理分野でも緊急事態発生時の「実践的」対応力を向上させようという動きが始まっています。
例えば、2019年8月、日本経済新聞は日本企業でトレンドになり始めたサイバーセキュリティ訓練についての記事を掲載しました。最近トレンドになっている訓練は実際に企業がサイバー攻撃を受けたことを想定し、「詳しい被害状況が分からない中で、いかに素早く状況を見極め、被害を最小限に食い止められるか」に焦点をあてたものだそうです。
これまでのサイバーセキュリティ訓練と言えば、
・社内で不審メールを開封しないように呼び掛ける
・ウェブ上でクイズ形式の確認テストを受講する
・情報漏洩時の報告ラインを確認する
といった手順の確認が一般的でした。しかしながら、大手企業でもサイバー攻撃により個人情報が盗まれたり、サーバーを乗っ取られてHPが改ざんされたり、といった被害が発生していることを受け、より「実践的」な訓練のニーズが高まっているようです。
実際にサービスを提供している企業の担当者は
「手順を確認するだけの従来型演習に比べ、瞬時の判断力など実践的な対応が求められる。体験することで企業の課題が浮き彫りになる」
と発言しており、マニュアルを読むだけの訓練との違いを強調しています。実際になんらかのサイバー攻撃を受けた場合、限られた時間で攻撃者との知恵比べが始まります。また、IT部門だけではなく、法務部門や経営層との連携をしなければ社会的に信用を失う結果になるのは皆さんもご存じの通り。
短時間で危機的状況に応じた適切な行動をとるためには、実践的な訓練で企業・団体ごとの課題を浮き彫りにすることが有効なのだそうです。これは海外での安全対策も全く同じですね。
実践的な緊急時対応訓練の種類
では、具体的に実践的な緊急時対応訓練はどのように行えばよいのでしょうか?まず、訓練のやり方にはいくつかの種類があることをお示ししましょう。
一つ目は訓練をどういった方法で行うかです。大きく分類すれば方法として三つあります。
1) 机上訓練型
2) 実地訓練型
3) 複合型
1)机上訓練型は危機的状況を想定しますが、あくまで机の周りで関係者同士のディスカッションを行うパターン。マニュアルを手元に置きつつ、誰が何をするのか、紙に整理してみるだけでも課題を浮き彫りにすることができます。手間や時間を最も節約でき、準備時間も短いためもっとも基本的な訓練タイプと言えます。
2)実地訓練型は例えば緊急連絡網のテスト等、本番で行う作業を実際に関係者全員で確認してみるパターン。海外の危機的状況としてテロを想定するならば、一旦どこかに避難した上で、国外に脱出するための空港入り口までの経路を車両を動員して確認する、といったやり方です。机上訓練型に比べて関係者との調整や場合によっては費用がかかるため一定の準備作業が必要です。ただし、本番さながらに体を動かしますので、いざという時に関係者がパニックになりにくい、極めて実践的な訓練が可能な訓練タイプです。
3)複合型は机上訓練型と実地訓練型を組み合わせたやり方。例えば海外の特定の事務所と危機管理を担当する部門は実際に電話で連絡を取りながら対応を検討しますが、その情報を基に経営判断を下す経営層は別室で机上訓練を行う、といったパターン。理想的には全ての関係者が体を動かしながら訓練できればよいのですが、そうもいかないなら、ということで一部を簡略化したパターンです。
また、実際に訓練をする際にはある程度のシナリオを用意しておく必要があります。どのような緊急事態が発生したと想定するか、またどの程度の被害が生じているのか、などなど。こうしたシナリオを訓練前にどこまで共有するかによっても訓練の本格度合いを調整することができます。シナリオの共有度合いはおおむね以下の四パターンです
A)全員がシナリオを知った状態で訓練する
B)各部門の責任者と訓練の事務局はシナリオをすべて知っている状態で訓練する
C)訓練の事務局のみがシナリオををすべて知っている状態で訓練する
D)外部の訓練者がシナリオを書き、訓練を受ける側は全員シナリオを知らない状態で訓練する
本番の緊急事態の際は誰も真実を知りません。ですのでD)が最も本番に近い環境ということになります。当初は何もわからない中徐々に発生した危機的状況が明らかになる中で判断を行うという訓練は難易度が高いですが、最も経験値を積むことができる訓練と言えるでしょう。
いきなりD)の方法で訓練ができない企業・団体であればA)~C)のいずれかから始めることをおススメします。A)は小学校で行われているような避難訓練に近い形式です。
「給食室から火が出ました。先生の指示に従って校庭に避難しましょう。避難の際は『おさない、はしらない、しゃべらない、もどらない』を守ってください」
といった放送が流れ、シナリオが完全に公開されますよね。それでも実際に1年生から6年生まで安全を確保しながら校庭に揃うよう繰り返し訓練を行うことで、地震や火災に対する備えができています。たとえシナリオを最初から全員が知っている状態でも、実際に安否確認の連絡をやってみる、緊急時の集合場所まで集まってみる、海外拠点の事務所から建物外の地上まで安全に避難してみる、といった訓練を経験しているかしていないか、は大きな違いです。
企業・組織の経験値や規模、どの程度まで本格的な訓練が必要か、に合わせて訓練の方法とシナリオの共有レベルを調整して「実践的」な訓練が構築できます。
「実践的」訓練はコスト効率がよい
海外での安全対策は幅広い要素を含みます。
守るべき人や資産(事業所や資金、在庫等)を物理的に守るために必要な塀や外壁、ドアや窓ガラスの強化も一つの方法です。また、侵入者を許さない、襲撃犯に対処するための警備員や防弾車両、多重ロックシステム、監視カメラの設置といった設備面での強化もあり得ます。しかしながら、こうしたいわゆるハードウェアでの対策にはどうしても初期投資と運営維持費用が必要になってきます。
人命はお金に換えられない、とは言いますが、かといって安全確保のために無尽蔵に予算が確保されている企業・団体もないでしょう。そこで当サイトが繰り返しご提案しているのは避難訓練や緊急連絡、緊急時の本社支援体制の構築などソフト面での安全対策を整えることです。
日本は地震や台風の被害が毎年のように発生する国です。大きな被害が頻発しているのですから、すべての建物を震度7に耐えられるようにする、すべての河川に強固な堤防を設置する、といったハードウェア整備が行われていてもよいのですが、現実にはそうはなっていません。なぜならお金も時間も圧倒的に不足しているからです。
台風19号の被害をまとめた日経新聞の記事でも、河川工学の専門家が以下のようにコメントされています。
関東学院大の宮村忠名誉教授(河川工学)は「数百年に一度の災害に備える治水事業には莫大な予算と時間を要する。短期間でハード面の対策を終わらせるのは現実的に不可能だ」と指摘する。
これに対して、「実践的」な海外緊急事態対応訓練に必要なコストはハードウェア整備と比べれば事実上「ゼロ」と言ってもよいレベルです。しかしながらその効果はバカにできません。
皆さんが小学校時代から何度も行ってきた地震や火事の際の避難訓練、実際に大地震が発生しても日本人が集団パニックにならず、整然と非常階段を下りることができるのは幼少期からの訓練のおかげではないでしょうか?そう、実践的な訓練はコストがほとんど必要ないにも関わらず、いざ緊急事態に直面した際、冷静に、円滑に対応するための教訓を得られる効率的な方法です。
また、いくら高価で丈夫なハードウェアが整っていても、それ以上の破壊力を持った武器で襲撃されれば突破されてしまいます。それに対し、訓練で得た教訓や対応への自信等無形の価値は簡単に失われるものではありません。
先ほどご紹介した日経新聞の記事でも宮村名誉教授が
短期的には「どう命を守るのか、具体的な避難方法などを住民に理解してもらう必要がある」とし、「浸水想定地域からインフラ施設や住居を移転させる誘導策の検討も中長期的な課題だ」と話している。
と語っておられます。台風対策でも予算と時間に限りがあるなら、ソフト面の対策を進めよう、という方針が提言されています。
台風への備え同様海外安全において、たとえ初歩的な訓練であっても、一度でもやっておくのとやっていないのとでは、万が一何らかの緊急事態が発生した際に対応に大きな差が出る可能性が高いでしょう。適切に対応できない場合、従業員関係者の命だけでなく、社会的信用、評判も失うことも想定されるのが海外での緊急事態。予算に限りがある企業・団体こそコスト効率のよい実践的な緊急事態対応訓練をご活用されることをおススメします。
なお、こうした訓練の実施に慣れていない場合は実践的な訓練を社内で実施することは難しいかもしれません。その場合は一度当サイトを運営する海外安全管理本部へお問合せ下さい。カウンセリング及び訓練シナリオのアイディアは無料でご相談に応じさせていただきます。
この項終わり