Skip to main content

サイバー演習

御社のサイバーインシデント対応計画は、実践的ですか?
2022年にマーシュとマイクロソフトがサイバーリスクについて分析し、発表した『サイバーレジリエンスの現状』レポート によれば、アジア企業のうち、3社に1社はサイバーインシデント対応計画すら策定できていません。

サイバーインシデント対応計画やサイバーインシデント検査が充実した企業に比べて、不十分または未着手の企業は、サイバーリスクに起因する損失や費用の度合いが平均で41%も高くなっています。

マーシュアジアのサイバー演習は、効果的で実践的なサイバーインシデント対応計画の策定に役立ちます。たとえサイバーリスクがもたらす危機に直面しても、財務面やオペレーション面、信用面の被害を最小限に食い止められます。

実践的な取り組み

マーシュアジアのサイバー演習は、甚大な被害を想定して、リアルタイムでサイバーインシデントをシミュレーションします。

1社1社に合わせてカスタマイズしたサイバー演習

御社の業界やサイバー習熟度、固有の要件を踏まえて、マーシュのエキスパート陣がサイバー演習の内容を練り上げ、適切かつ実践的なサイバーリスクに関する知見を提供します。

成果重視型の演習

マーシュアジアが培ったサイバー保険の知識や専門性を活かして、保険会社とのやり取りや保険金請求の管理をシミュレーションします。

サイバー演習は、実際に起こり得るサイバー脅威に備える確固たる土台になります。

サイバー脅威の頻度や深刻度が増大し、日を追うごとに規制環境が厳格化される反面、アジア企業の3社に1社は、サイバーインシデント対応の計画や検査に未着手のままです
サイバーインシデントへの対応計画を導入済みの企業でも、往々にして、対策と手法の面でギャップを抱えています。経営幹部や従業員も、サイバーセキュリティインシデントに伴う財務面やオペレーション面、信用面への影響を抑えるサイバーリスク対策が不十分です。
サイバーインシデント対応計画やサイバーインシデント検査が充実した企業に比べて、サイバーインシデント対応計画が不十分または未着手の企業は、サイバーリスクに起因する損失や費用の度合いが平均で41%も高くなっています。

多くの場合、サイバーインシデント対応の準備不足の原因は、サイバー演習の未実施にあります。本来は、自社に固有のサイバーリスクの課題や懸念事項を踏まえて自主的にサイバー演習を行い、実践的な知見や確かな成果を得ておくべきです。

サイバーセキュリティ対策が不十分であれば、サイバーインシデントの悪影響が瞬く間に広がり、被害も拡大します。だからこそ、すべての組織に突き付けられている問いがあります。
「御社のサイバーインシデント対応計画は、実践的な検証に耐えられますか?」
 

マーシュアジアのサイバー演習を導入する

マーシュアジアのサイバー演習は、効果が実証された4段階のアプローチで構成されています。組織内のサイバー資産に対する現実的な脅威を想定し、サイバーインシデント対応計画の堅牢性を検証します。通常、6~8週間でサイバー演習の全プロセスが完了します。
 

ステージ1:現行のサイバーインシデント対応計画の確認/新計画の策定

最初に、御社の体制やサービス内容に関する深い理解に努めます。このサイバー演習に参加する経営幹部や取締役を特定し、現行のサイバーインシデント対応や危機管理計画、手順、過去の演習記録を確認します。
サイバーインシデント対応計画が未策定の場合、業界標準やサイバー習熟度、御社固有の要件に合致するサイバーインシデント対応計画の策定を支援します。
 

ステージ2:シナリオ設計

御社の合意を得た目標に基づいて、サイバー演習の範囲や指標、サイバー演習のシナリオを定義します。

実践的かつ適切なサイバー演習シナリオを設計するために、ランサムウェアや情報漏洩など、御社に最も甚大な悪影響を及ぼし得るサイバーセキュリティインシデントの種類を検討します。組織体制や業務運営、参加者の役割や職責も考慮して、サイバー演習中に、個人や組織の各階層に適切かつ連続的な負荷をかけていきます。

ステージ2の最後には、参加者がサイバーインシデント対応に関する知識を体系化するためのセッションを開催し、サイバー演習に備えて詳細な資料を配布します。

 

ステージ3:サイバー演習の実施

危機シナリオやワークフロー、指示事項を明確化したうえで、計画どおりに、緻密なサイバー演習を実施します。インシデント後に発生した影響を効率的/効果的に抑えられるのか、参加者の取り組みをリアルタイムで検証します。

参加者の意思決定能力に留まらず、部署や職位を横断して連携する能力も判定します。

 

ステージ4:サイバー演習の評価

サイバー演習後には、詳細な演習実施レポートを作成します。訓練へのフィードバックや所見、良かった点を記載し、インシデント対応におけるギャップを明らかにします。
優先順位を付けて助言することで、十分な情報に基づいて今後の対策を講じ、サイバーインシデント対応や危機管理の手法を強化することができます。

 

サイバー演習の成果

演習の主な成果は、下記のとおりです。

  • マーシュのサイバー保険エキスパートの力を借りながら、社内のサイバーインシデント対応や危機管理手法を強化させ、サイバー保険の十分な引受キャパシティを獲得するための要件を充足できます。
  • ステークホルダーが各自の役割や職責を理解し、執行する支えになります。
  • 財務面やオペレーション面、信用面の悪影響を最小限に抑えるべく、適切な措置を講じることができます。
  • 危機的事象の発生時に、社内外で効果的に意思疎通を図ることができます。

マーシュが選ばれる理由

ひとたびサイバーインシデントが発生すれば、即座の危機管理に留まらず、事業中断や保険金請求まで検討する必要に迫られます。マーシュアジアは、危機管理や事業継続やサイバーセキュリティといったリスクコントロール、サイバー保険をはじめとしたリスクファイナンスを通して、金融サービス業や製造業、テクノロジー業などの多様な業界を横断的に、経営幹部と密接に連携しながら広範な専門性を培ってきました。サイバー演習の対象は、これまでにサイバーセキュリティ対策を講じていない組織です。

マーシュのサイバーリスク専門家による実践的なサイバー危機シミュレーションやサイバー保険にご興味はございますか?

マーシュのサイバーリスク専門家にサイバー演習やサイバー保険についてご相談ください。