ナニコレ!?研修(第1回) セキュリティ意識が高まるボードゲーム型研修

リスクマネジメント 雇用・研修

公開日:2018.07.31

 ともすれば受け身になりがちな社員研修に新たな動きが生まれている。受講者自身に考えさせる実践的な研修プログラムが増えているのだ。従来のイメージと違う、少し変わった研修を紹介する本連載。第1回は、組織全体のセキュリティ意識に気付きを与える「インシデント対応ボードゲーム」だ。

セキュリティは自分事にならない

 数ある社員研修の中でも、セキュリティ研修は効果を出すのが難しい。最大の理由は、実際に被害に遭わない限り、セキュリティ対策を自分事として捉えにくいからだ。

 例えば「メールに添付されたマルウエアを開いたら被害に遭った」「サイバー攻撃で数万件の個人情報が流出した」という報道を見ても、「自分ならそんなファイルは開かない」「うちは中小企業なので、ハッカーから狙われる心配はない」と思いがちだ。

 たとえセキュリティ研修を受けたとしても、その大部分は講義中心の座学やeラーニングだ。知識を得ただけで満足し、具体的な対策や意識改善につながらない場合が少なくない。中小企業の場合、IT専任者やセキュリティ担当者がいない企業も多く、組織的なセキュリティ研修の実施すら難しいケースもある。

 こうした状況を打開すべく、参加型のセキュリティ研修として開発されたのが「インシデント対応ボードゲーム」(トレンドマイクロ提供)だ。インシデント(事件)が発生したときの組織対応をシミュレーションできるボードゲームで、プレーヤー自身がベストの対応を考え、他のプレーヤーと議論する必要がある。

「インシデント対応ボードゲーム」(トレンドマイクロ提供)。今回は見本を借りて体験したが、通常はPDFデータを自分で印刷して使用する

対応を間違えると“破産”もあるボードゲーム

 このゲームは、6つの役職「経営責任者」「事業部門責任者」「セキュリティ担当者」「システム管理者」「情報システム部門責任者」「広報担当者」に相当する人物がプレーヤーとして参加する。

イベントカードの例。「自組織のWebサイトがブラックリスト入り」など具体的に記載。Pt(ポイント)のマイナスにより影響の大きさが分かる

 ルールはそれほど難しくない。「イベントカード」を引いて、そこに書かれたインシデントを皆で議論し、対応する「アクションカード」を決める。ポイント欄にマイナスの表記があれば、持っているポイントからその数を差し引く。

 ゲームは1回につき2ラウンド行う。まず、インシデントが書かれたイベントカードの束からランダムに3枚抜き出し、その3つのインシデントへの対応について、それぞれの立場から取るべき施策を提案・議論し合う。

 議論の末、最終的に取るべき対策を2つに絞ったら、その対策に相当するカードをアクションカードの束から選ぶ。企業資産やブランド価値を損なう施策に対しては、その分をマイナスとして換算する。これを2回繰り返す。ポイント(7個からスタート)がゼロになると破産してゲームオーバーだ。

ポイントには「資産」「ブランド」の2種類がある。ポイントがゼロになると破産という設定。コストと効果の両方を検討して最適解を探す

 実際にプレーしてみると、意外と難しい。例えば「自組織のWebサイトのトップページ画像が改ざんされていることに従業員が気づいた」というイベントカードを引いた場合、具体的にどう対応するべきか、とっさに思い付かないのだ。

 ひとまず「セキュリティの専門家を呼べば、何とかなる」と考えてアクションカードを見ると、コストがかかるため資産ポイントがマイナスになる。専門家に費用をかけるべきか、それともブランド価値を損なうのを承知でWebサイトを閉鎖するべきか。各担当者が議論して自社にとっての“最適解”を探り、具体策につなげることがこのゲームの最大の目的だ。

開発の意図はポリシーづくりのきっかけ

 インシデント対応ボードゲームの開発経緯について、提供元のトレンドマイクロ担当者に聞いてみた。同社上級セキュリティエバンジェリストの染谷征良氏(マーケティングコミュニケーション本部カンパニーマーケティング部部長)は次のように語る。

 「セキュリティインシデントが発生したときの対応策は、基本的に企業自身が自社のセキュリティポリシーに沿って決めなくてはならない。ただ、明確なポリシーがなく、対応策を考えていない企業も多い。2016年にリリースしたインシデント対応ボードゲームは、セキュリティポリシーづくりや具体的なセキュリティ対策を考えるきっかけになれば、と開発した」

 染谷氏によると、ボードゲームのユーザーからは「インシデント対応の運用ルールや担当者の役割が曖昧なことに気付いた」など、新たな課題発見につながった意見が多く出ているという。

効果アップには経営層の理解が重要

 ゲームの参加者には6つの役職が想定されている。IT専任者やセキュリティ担当者がいない場合は、その業務を行う担当者が参加すればよいが、少なくとも経営責任者もしくはそれに準ずる経営層と、事業部門担当者は「ゲームの効果を上げるためにも参加必須」(染谷氏)だ。IT担当者だけでゲームをすると、IT面での最適解に落ち着いてしまい、ビジネス全体の最適解を導く発想になりにくい。

 経営層や事業部門責任者のゲームへの参加を促すコツは、セキュリティ対策の大切さを社内で根気強く訴え続けること。セキュリティ対策や予算策定に、経営層があまり関与しないケースも多い。セキュリティ事件がニュースになったときに、経営層にアピールしてボードゲームへの参加を促してもよい。

 経営層が参加すれば、担当者がセキュリティ対策予算の必要性をトップに説ける効果もある。経営層も、普段なかなか実感できないインシデントの疑似体験により、セキュリティ予算の必要性を認識できる。染谷氏は「ちょうど災害対策避難訓練のように、時間を置いて何度も繰り返すことで、セキュリティ意識が高まり、新たな課題の発見や気付きが得られる」と説明する。

 もう1つ重要な効果がある。部署間連携の促進だ。インシデントが起こると、IT担当者だけでなく、経営判断をする経営層、営業活動への影響を知りたい事業部門責任者、対外コミュニケーションを取る広報責任者など多くの部署が関わる。場合によっては、広報はメディアから厳しく問い詰められるし、カスタマーセンターには顧客から問い合わせが殺到する。営業も顧客から説明を求められるだろう。

 このボードゲームでは複数の部署が参加してコミュニケーションを取るので、各部門が重視する視点や対応方法をお互いに理解できるようになる。しかも、連携の練習をしておけば、いざインシデントが起こったときにパニックにならずに済む。

経営層や他部署とコミュニケーションを取るきっかけにもなる

 ゲームは公開されているので、ダウンロードページから手に入れて印刷して利用する。ルールブックも付いている。白紙のアクションカードに対応を書き込むなど、自組織の事情に合わせてゲームを行ってもよい。

 万一セキュリティインシデントが起こったら、短い時間で正しい対応を取らなければならない。ゲームでも真剣な姿勢で楽しんでみてほしい。

執筆=岩崎 史絵

【T】

あわせて読みたい記事

連載バックナンバー