本日はOWASP Kansaiのイベント。
今回の題材はセキュリティのボードゲーム。
https://owasp-kansai.doorkeeper.jp/events/74313
2つのボードゲームのうち、どちらかを選んで
セキュリティの学習をしましょうというものです。


こういうボードゲームのがあるというのは知っていましたが、
実際にやるのは初めて。予備知識はほとんどありません。
というわけで、持っていた傘が倒れた方にしようということで、
「インシデント対応ボードゲーム」
を選択しました。


こちらのゲームは、通販Webサイトを運営している会社を想定して、
与えられた前提条件※1の下で発生するイベント※2に対する
初動対応※3を競うというもの。
いろんな視点で物事を考えなければならず、かなり頭を使います。
なお最下位のチームは、経営責任者役が謝罪会見を行わなければならないという
おまけつきです。


プレイ後の解説では、事象が起こり続けて、かつ、
原因がわからない状況ではあるが、どうしても止められないシステムでは
バックアップからひたすら戻しまくるというのがありました。
まさに荒業対応（苦笑）
一方、起こった事象に関連するハッキングツールが出た場合は
あきらめてプロに頼るしかないとのこと。


評価ポイントについて、今回は初動対応でしたが、
進め方も含め、この辺りはファシリテータ側で如何様にもできると思います。
IT業界に限らず、何かしらのシステムを運営するのであれば、
一度はこういうゲームを体験しておいた方がよさそう。
研修とかに取り入れるといいかもしれませんね。


※1：会社の基本情報、システム構成、参加者の役割（経営責任者・
情シス部門責任者・事業部門責任者・システム管理者・
セキュリティ担当者・広報担当者）、一定の資産ポイントと
ブランドポイントが設定されている。


※2：イベントカードの山から3枚引く。カードには
「セキュリティ事故の情報がSNSに拡散」
などの事象が書かれている。
内容によっては、資産ポイントやブランドポイントを消費する。


※3：アクションカードとして
「対象機器を調査する」
などの対応手段が記載されており、適切と思ったカードを2枚選ぶ。
内容によっては、資産ポイントやブランドポイントを消費する。








今回のお土産