　今回用意されたインシデント対応ボードゲームでは、参加者が医療機器メーカーの経営責任者や各部門の担当者の立場となり、自社の医療機器に発生したセキュリティインシデントに対して、チームで協力して事象分析や対応方針を検討する。セキュリティインシデントの疑似訓練だけでなく、参加者の組織における課題を考察し、改善に役立てることも狙いとなっている。

　ボードゲームの参加人数は、インシデントに関する状況説明や進行管理を担当するファシリテーターを含めて9人。今回はグループ1と2に分かれ、合計18人がボードゲームに参加し、残りの参加者はオブザーバーとして各グループのインシデント対応の様子を見守る。ボードゲームによる演習は、3枚のカードを1枚ずつ公開する形で示されるインシデントに対する考察、影響度の評価、アクションプラン決定の手順で進み、最後に両グループから発表を行った。

インシデント対応ボードゲームの参加イメージ（左）と具体的な実施内容（右）（クリックで拡大）出典：トレンドマイクロ

　なお、事前設定としては、国内大手医療機器メーカー、対象となる製品は管理医療機器（薬事品）、OSにWindowsを採用しているなどの情報がある。ファシリテーター以外のボードゲーム参加者は、医療機器メーカーの経営責任者、ITセキュリティ部門、広報部門、品質管理部門兼開発部門、製品サービス部門、営業担当、医療機関側の情報システム管理担当者＋書記という8つの役割を担い、セキュリティインシデント対応を検討していくことになる。

訓練における組織設定（クリックで拡大）出典：トレンドマイクロ

顧客・組織体制（左）と役割一覧（右）（クリックで拡大）出典：トレンドマイクロ

　今回のインシデントカードの内容は、1番目が「自社供給システムのOSで脆弱性公開」、2番目が「外部から自社供給システムで利用する他社製品の脆弱性について指摘された」、3番目が「病院ネットワークに不正アクセスが発生」だった。1番目のOSの脆弱性がWindowsのリモートデスクトップ機能であること、2番目の外部からの脆弱性指摘がJPCERT/CCから行われたこと、そして1番目と2番目への対応を進めている間に3番目の重大インシデントが起こるあたり、これまでにも起こっていたようなインシデントのシナリオ進行となっていた。

今回のインシデントカードの内容（クリックで拡大）出典：トレンドマイクロ

　両グループの参加者は、インシデントの考察で20分、影響度の評価で10分、アクションプラン決定で15分という短い時間枠の中でそれぞれインシデントへの対応を検討した後、グループの代表者が最終的なグループ発表を行った。

参加者は限られた時間の中でインシデントの考察（左）や影響度の評価（右）などを行った（クリックで拡大）出典：医療機器サイバーセキュリティ協議会

　今回の訓練の総評として、群馬大学医学部附属病院准教授の鳥飼幸太氏は「OSのリモートデスクトップ機能の脆弱性というのは影響範囲が大きく、そのことを類推できるかがポイントになっただろう。インシデントを悪い側面だけから見ずに、そのことをきっかけに中長期で新しい取り組みをすべきという提案があったのはよかった。医療機器メーカーの立場からすると、インシデントによる自社の損失を第一に考えてしまうと思うが、医療機関の診療が止まって人命に直結することや、医療機関の資産である医療情報への考慮などもいい視点だったのではないかと思う」と説明する。

　トレンドマイクロの松山氏は「今回のボードゲームは、組織や人による仕組みに焦点を当てたものになっている。今後は、医療機器メーカーにとって重要であろう、製品へのセキュリティの実装や運用といった仕組みとなるPSIRT（Product Security Incident Response Team）的なものも見られるように検討していきたい」と述べている。