「年 1 回机上演習やったよ、で終わりにしとる中堅は危ない」――保険会社・監査法人が継続演習を要求する流れが強まっている。 四半期に 1 回・1.5-2 時間でも継続的に回せば、CSIRT の練度が目に見えて上がる。本記事は中堅企業(200-1000 名)が四半期で回せる机上演習テンプレートを 4 シナリオ + 評価ルーブリックで提示する。
目次
- 机上演習の年間設計
- 4 シナリオの全体像
- Q1 シナリオ: ランサムウェア
- Q2 シナリオ: サプライチェーン侵害
- Q3 シナリオ: 内部不正
- Q4 シナリオ: OT 異常
- 評価ルーブリック(5 段階)
- 参加者と役割分担
- 演習後の改善 PDCA
- よくある質問(FAQ)
机上演習の年間設計
| 四半期 | テーマ | 所要時間 | 参加者 |
|---|---|---|---|
| Q1 | ランサムウェア | 2.0 h | CSIRT + 経営 + 法務 + 広報 |
| Q2 | サプライチェーン侵害 | 1.5 h | CSIRT + 調達 + 法務 |
| Q3 | 内部不正 | 1.5 h | CSIRT + 人事 + 法務 |
| Q4 | OT / 業務基幹システム異常 | 2.0 h | CSIRT + 事業部 + 経営 |
4 シナリオの全体像
| シナリオ | 想定脅威 | 主要判断ポイント |
|---|---|---|
| ランサム | 暗号化 + データ窃取 | 業務停止判断・身代金交渉・通知 |
| サプライチェーン | OSS / ベンダー経由侵害 | 影響範囲特定・取引先通知 |
| 内部不正 | 退職者・現職者によるデータ持出 | 法務対応・証拠保全・人事処分 |
| OT 異常 | 制御系停止・誤動作 | 安全停止・復旧優先順位 |
Q1 シナリオ: ランサムウェア
Q2 シナリオ: サプライチェーン侵害
Q3 シナリオ: 内部不正
Q4 シナリオ: OT 異常
評価ルーブリック(5 段階)
| 評価軸 | 1(要再演習) | 3(標準) | 5(優秀) |
|---|---|---|---|
| 初動判断速度 | 30 分超 | 10-15 分 | 5 分以内 |
| 役割分担明確性 | 混乱 | おおむね明確 | 即座に動く |
| 経営報告品質 | 情報整理不足 | 必要事項網羅 | 判断材料完備 |
| 法的対応 | 漏れあり | 主要対応実施 | 弁護士連携明確 |
| 顧客 / 取引先対応 | 対応遅延 | 適切な通知 | 先回り対応 |
| 記録 / エビデンス | 散逸 | 主要記録あり | 完全な時系列記録 |
参加者と役割分担
| 役割 | 担当部署 | 演習中の主タスク |
|---|---|---|
| インシデント司令官 | 情報セキュリティ責任者 | 全体指揮・判断 |
| 技術リード | システム / SOC 担当 | 技術判断・封じ込め |
| 法務 | 法務 / 顧問弁護士 | 通報義務・契約対応 |
| 広報 | 広報 / 経営企画 | 対外発表・取材対応 |
| 人事 | 人事 | 内部調査・処分判断 |
| 事業 | 関連事業部 | 業務影響判断 |
| 観察者 | 外部コンサル / 内部監査 | 評価・記録 |
演習後の改善 PDCA
よくある質問(FAQ)
Q. 四半期は重い、半期で良いか? A. 中堅でも四半期推奨。半期だと前回演習を忘れがちで継続改善が機能しない。1 回あたり 1.5-2 時間に収めれば負荷は許容範囲。
Q. 外部ファシリテーターは必須か? A. 初回 1-2 年は外部推奨。社内で型ができたら年 1-2 回外部、他は社内で運用が現実的。
Q. 演習結果を保険会社に開示すべきか? A. 結果サマリ(評価点 + 改善計画)を共有すると引受評価で有利になる傾向。詳細記録は社内保管。
参考資料
- IPA「サイバー演習実施の手引き」
- 内閣サイバーセキュリティセンター「分野横断的演習」
- NIST SP 800-84「Guide to Test, Training, and Exercise Programs」
「24 時間監視を外注したいが、ベンダーの違いが分からない」
SOC / EDR / MDR の選定支援とリテーナー契約設計を提供します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
中堅企業の机上演習設計、シナリオ作成、ファシリテーション、評価レポート整備は GXO のセキュリティリテーナーサービスで対応可能です。
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
インシデント机上演習 四半期実施テンプレート 2026 中盤版|中堅企業向け 4 シナリオと評価ルーブリックを自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。