「年 1 回机上演習やったよ、で終わりにしとる中堅は危ない」――保険会社・監査法人が継続演習を要求する流れが強まっている。 四半期に 1 回・1.5-2 時間でも継続的に回せば、CSIRT の練度が目に見えて上がる。本記事は中堅企業(200-1000 名)が四半期で回せる机上演習テンプレートを 4 シナリオ + 評価ルーブリックで提示する。
目次
- 机上演習の年間設計
- 4 シナリオの全体像
- Q1 シナリオ: ランサムウェア
- Q2 シナリオ: サプライチェーン侵害
- Q3 シナリオ: 内部不正
- Q4 シナリオ: OT 異常
- 評価ルーブリック(5 段階)
- 参加者と役割分担
- 演習後の改善 PDCA
- よくある質問(FAQ)
机上演習の年間設計
| 四半期 | テーマ | 所要時間 | 参加者 |
|---|---|---|---|
| Q1 | ランサムウェア | 2.0 h | CSIRT + 経営 + 法務 + 広報 |
| Q2 | サプライチェーン侵害 | 1.5 h | CSIRT + 調達 + 法務 |
| Q3 | 内部不正 | 1.5 h | CSIRT + 人事 + 法務 |
| Q4 | OT / 業務基幹システム異常 | 2.0 h | CSIRT + 事業部 + 経営 |
合計年 7 時間で全主要シナリオを網羅。中堅でも続けられる現実的な負荷。
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
4 シナリオの全体像
| シナリオ | 想定脅威 | 主要判断ポイント |
|---|---|---|
| ランサム | 暗号化 + データ窃取 | 業務停止判断・身代金交渉・通知 |
| サプライチェーン | OSS / ベンダー経由侵害 | 影響範囲特定・取引先通知 |
| 内部不正 | 退職者・現職者によるデータ持出 | 法務対応・証拠保全・人事処分 |
| OT 異常 | 制御系停止・誤動作 | 安全停止・復旧優先順位 |
Q1 シナリオ: ランサムウェア
状況: 月曜 9:00、社内ファイルサーバ 2 台が暗号化を確認。
EDR アラートは前週金曜 22:30 に上がっていたが見落とし。
攻撃者から約 8 億円相当の身代金要求メール着信。
バックアップは 7 日前まで復元可能。
注入カード(30 分後):
- 顧客データ 5 万件のサンプルがダークウェブで公開
- 大手取引先からインシデント問合せが殺到
- メディアから取材依頼
判断ポイント:
Q1. 業務停止の範囲は?基幹系も停止するか?
Q2. 身代金交渉は誰が判断する?
Q3. 顧客通知のタイミングと範囲は?
Q4. 取引先への一次回答は誰が出す?
Q5. 警察 / 個情委への通報判断は?
FREE DOWNLOAD
セキュリティ運用も、導入後のKPIと改善バックログで見直せます
脆弱性、ログ、権限、AI利用ルールを月次で確認し、止まらない運用体制へつなげます。
Q2 シナリオ: サプライチェーン侵害
状況: 利用中の OSS ライブラリに悪意あるバージョンが混入と公表。
自社製品の本番環境に該当バージョンが 6 ヶ月前から稼働。
影響範囲調査と顧客通知の必要性を判断する。
注入カード:
- 同 OSS を使う他社で情報窃取被害が報告
- 自社ログでも疑わしい外部通信が見つかる
- 監督官庁から状況報告を求められる
判断ポイント:
Q1. 該当バージョンの稼働範囲をどう特定するか?
Q2. 顧客通知の閾値は?被害確認前に予防通知すべきか?
Q3. 既存ベンダー / OSS 採用基準の見直しはいつ着手するか?
Q3 シナリオ: 内部不正
状況: 退職予定者が業務時間外に大量データダウンロードと判明。
EDR で検知、対象ファイルに顧客情報・営業秘密含む可能性。
退職予定者は 3 日後に競合他社へ転職予定。
判断ポイント:
Q1. 即時アカウント停止と退職前面談のどちらを優先?
Q2. 法的措置(民事 / 刑事)の判断主体は?
Q3. 競合他社への通知 / 警告は出すか?
Q4. 顧客通知の必要性は?
Q5. 再発防止策(DLP / 退職プロセス見直し)の責任部署は?
Q4 シナリオ: OT 異常
状況: 工場 PLC からの異常データを監視で検知。
製造ラインの一部で品質異常も出始め、原因がサイバー攻撃か機器故障か不明。
隣接ラインへの影響可能性あり。
判断ポイント:
Q1. 安全停止の判断基準は?誰が宣言するか?
Q2. IT セキュリティ部門と OT 保全部門の役割分担は?
Q3. 出荷判断の留保期間と取引先通知は?
Q4. ベンダー / 計装メーカーへの即時連絡先は?
Q5. 復旧優先順位(人命 → 環境 → 生産)の運用方法は?
評価ルーブリック(5 段階)
| 評価軸 | 1(要再演習) | 3(標準) | 5(優秀) |
|---|---|---|---|
| 初動判断速度 | 30 分超 | 10-15 分 | 5 分以内 |
| 役割分担明確性 | 混乱 | おおむね明確 | 即座に動く |
| 経営報告品質 | 情報整理不足 | 必要事項網羅 | 判断材料完備 |
| 法的対応 | 漏れあり | 主要対応実施 | 弁護士連携明確 |
| 顧客 / 取引先対応 | 対応遅延 | 適切な通知 | 先回り対応 |
| 記録 / エビデンス | 散逸 | 主要記録あり | 完全な時系列記録 |
各シナリオで上記 6 軸 × 5 段階で評価、合計 30 点満点。20 点未満のシナリオは半年以内に再演習。
参加者と役割分担
| 役割 | 担当部署 | 演習中の主タスク |
|---|---|---|
| インシデント司令官 | 情報セキュリティ責任者 | 全体指揮・判断 |
| 技術リード | システム / SOC 担当 | 技術判断・封じ込め |
| 法務 | 法務 / 顧問弁護士 | 通報義務・契約対応 |
| 広報 | 広報 / 経営企画 | 対外発表・取材対応 |
| 人事 | 人事 | 内部調査・処分判断 |
| 事業 | 関連事業部 | 業務影響判断 |
| 観察者 | 外部コンサル / 内部監査 | 評価・記録 |
中堅は法務 / 広報 / 人事を兼務するケースが多い。誰が何を判断するかの事前合意が演習の主目的。
演習後の改善 PDCA
1. 演習当日: 気づきメモを参加者全員から収集
2. 1 週間以内: 評価結果と改善項目を文書化
3. 2 週間以内: 改善項目の責任部署・期限を割当
4. 1 ヶ月以内: 優先 3 項目の改善着手
5. 翌四半期: 改善項目の進捗を演習冒頭で確認
6. 年次: 年間レポートとして経営報告
よくある質問(FAQ)
Q. 四半期は重い、半期で良いか? A. 中堅でも四半期推奨。半期だと前回演習を忘れがちで継続改善が機能しない。1 回あたり 1.5-2 時間に収めれば負荷は許容範囲。
Q. 外部ファシリテーターは必須か? A. 初回 1-2 年は外部推奨。社内で型ができたら年 1-2 回外部、他は社内で運用が現実的。
Q. 演習結果を保険会社に開示すべきか? A. 結果サマリ(評価点 + 改善計画)を共有すると引受評価で有利になる傾向。詳細記録は社内保管。
参考資料
- IPA「サイバー演習実施の手引き」
- 内閣サイバーセキュリティセンター「分野横断的演習」
- NIST SP 800-84「Guide to Test, Training, and Exercise Programs」
「24 時間監視を外注したいが、ベンダーの違いが分からない」
SOC / EDR / MDR の選定支援とリテーナー契約設計を提供します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
中堅企業の机上演習設計、シナリオ作成、ファシリテーション、評価レポート整備は GXO のセキュリティリテーナーサービスで対応可能です。
<!-- GXO_QUALITY_REWRITE_20260507_START -->GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- 必須要件、将来要件、今回はやらない要件を分けたか
- 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
<!-- GXO_QUALITY_REWRITE_20260507_END -->インシデント机上演習 四半期実施テンプレート 2026 中盤版|中堅企業向け 4 シナリオと評価ルーブリックを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。
