説明
サイバーセキュリティインシデントへの対応が成功した後の教訓演習の主な焦点は、インシデント管理プロセスがどのように実行されたかを評価し、長所、短所、ベストプラクティス、および将来のインシデントに対する改善の機会を特定することです。教訓に基づいた演習は、根本原因、攻撃ベクトル、またはインシデントの復旧時間を特定することを目的としたものではなく、インシデント対応チームとインシデント対応計画のパフォーマンスと有効性を評価することを目的としています。
参考文献: CISM レビュー マニュアル 2023 には、「インシデント後のレビューはインシデント対応プロセスの重要な部分」であり、「インシデント対応チームのパフォーマンスを評価し、改善すべき領域を特定し、得られた教訓を文書化する機会を提供する」と記載されています。とベストプラクティス」(p.191)。CISM レビューの質問、回答および説明マニュアル 2023 では、この回答について次の理論的根拠も提供されています。「インシデント管理プロセスがどのように実行されたかは、インシデント対応能力を評価することを目的とした教訓演習の主な焦点であるため、正しい答えです。」そして是正措置と改善計画を実施すること」(p. 97)。さらに、ISACA ジャーナル 2022 のサイバーセキュリティ インシデント対応演習ガイダンスの記事には、「AAR [事後レビュー] には、演習の日時、参加者のリスト、シナリオの説明、調査結果 (一般的および具体的)、推奨事項、学んだ教訓、および演習の評価 (長所、短所、学んだ教訓) を含む観察」 (p. 3)1