テーブルトップ演習の進化

1800年代初頭、プロイセンの将校たちは砂のテーブルの周りで戦闘を演習し始めました。彼らはそれをクリークシュピールと呼び、プレッシャーの下で高いリスクを伴う意思決定を強制したため、うまく機能しました。現在に早送りして、同じ概念はサイバーセキュリティの危機対応準備のための標準的なツールになっています。それはテーブルトップ演習です。当然の理由で、それは今でも機能しています。

完全開示：私たちはこの分野で積極的に構築しています。これが、これらの演習がどこで不足しているかを綿密に検討するのに多くの時間を費やしてきた理由です。以下の観察は塹壕から直接来ています。リーと私は、成長段階のテクノロジースタートアップから規制の厳しい業界の巨大なグローバル企業まで、これらのシナリオを促進することに長年費やしてきました。私たちが一貫して観察しているのは、テーブルトップは本物の価値を提供するということです。しかし同時に、私たちは両方ともテーブルトップ演習にも天井があることに気付きました。ほとんどの経験豊富な実践者は静かに認識していますが、めったに公然と議論しません。

テーブルトップが構築したもの、そしてそれが止まるところ

テーブルトップについて私たちが好きなことはここにあります。彼らは人々を一室に入れ、危機が到着する前にそれについて話し合うことを強制しています。役割とエスカレーションパスについての共有理解を構築します。記録されたプランと運用現実の間のギャップが浮き出ます。古い連絡先リスト、あいまいな指揮権の鎖、組織がもはや実行していないインフラストラクチャ用に書かれたランブック。セキュリティ、法務、コミュニケーション、および経営陣間のクロスファンクショナルな信頼を構築します。そして SOC 2、ISO 27001、インシデント対応テストの文書化された証拠を必要とする NIST などのコンプライアンスフレームワークを満たします。

拡張チーム（法務、プライバシー、コミュニケーション、サポート、エンジニアリング、インフラなど）を一堂に集めることで、役割、責任、およびインシデントが会社のすべての領域にどのように影響するかについての共有理解に対する本物の利益が得られます。しかし従来の演習には媒体の根本的な制限があります。ほとんどのテーブルトップはプランの知識をテストしています。それを実行する能力をテストしていません。

シナリオはスクリプト化されています。チームが決定した内容に関係なく、インジェクトは固定スケジュールで到着します。危機通信プランは共有ドライブに格納されていますが、記者が電話をかけてきたときにステートメントが成立するかどうかをテストしたことはありません。インシデント対応プランは役割を定義していますが、3 つのことが同時に問題になったときに、それらの役割が機能するかどうかを観察したことはありません。参加者は計画の理論と知識について議論しています。それは彼らが何をするかについてです。彼らはそれを行いません。

すべての経験豊富なファシリテーターは、その瞬間を知っています。部屋の中の誰かが前提に異議を唱えるファシリテーターが参加者に「信じられないことを一時停止するよう」求めます。そのフレーズは私たちに一時停止を与えるべきです。シナリオが不信の一時停止を必要とする場合、それは準備を構築していません。それはドキュメントの親しみを構築しています。

ドキュメンテーションと実行の間のギャップはよく文書化されています。CISA のサイバー演習ガイダンスでは、議論ベースの演習だけでは運用準備を検証するには不十分であることに注意していますが、これがほとんどの組織が頼っているものです。Ponemon Institute は、セキュリティチームの半分強だけが彼らのインシデント対応プランが効果的であると信じていることを報告しています。ほとんどの企業は、実際のインシデントに直面してからは、決してインシデントに似た条件の下で練習していません。

AI でテーブルトップに命を吹き込む

AI エージェント機能の進歩により、従来のテーブルトップの主な制限に対処することが可能になりました。チームが実際に行うことに動的に対応する能力です。すべてのアクションに対して、チームが取る可能性のあるアクションを完全に無視する一連の事前定義されたインジェクトの代わりに、反応があるべきです。

以前は不在だった役割（例えば、脅威の立場者、ジャーナリスト、規制当局者、顧客）が固定シーケンスに従う代わりに、チームの決定にリアルタイムで対応できるとしたらどうでしょうか。最近まで、これを近似することには訓練されたアクターの乗組員を雇うことが必要でしたが、誰もそうしません。AI により、スクリプトに従う代わりに防御決定に適応する敵対者を持つことが可能になります。これで、シミュレートされた利害関係者（プレス、規制当局、顧客など）を持つことが可能になり、チームの通信のタイミングと内容に反応します。可能性は、すべての決定がカスケード前に結果を生成する可能性があり、以前はスケールで実現できなかったシミュレーションの忠実度です。

AI を使用することで、演習の性質を議論から実践に変更できます。組織は、危機プロセスが現実的なプレッシャーの下で成り立つかどうかを観察できます。インシデント対応プランに従っているか、単に参照されていますか？インシデント司令官は、チームが並列の問題に取り組んでいる間、状況認識を維持していますか？自己報告された意図の代わりに、観測された行動をログに記録し、タイムスタンプを付けてMITRE ATT&CK および NIST CSF などのフレームワークにマップできました。

周波数の問題もシフトする可能性があります。従来のファシリテーションされた演習に数万ドルがかかり、数週間の準備が必要な場合、ほとんどの組織は最良の場合でも年に 1 回実行します。サイクル間でスキルは減衰します。新しいチームメンバーは参加したことがありません。IBM および Ponemon Institute 2025 Cost of a Data Breach Report では、17 の業界全体で 600 以上の組織を調査し、1 年に少なくとも 2 回インシデント対応をテストしている組織は、平均して違反コストを 149 万ドル削減していることが分かりました。AI が準備時間とコストを大幅に圧縮する場合、より頻繁な運動がより実行可能になります。

頻度を超えて、従来の演習が構造的に提供できない可能性があります。適切に構成された AI 補強演習は、一般的なシナリオではなく、組織の実際の環境を中心に構築できます。一般的なシナリオは一般的な学習を生み出します。シミュレートされた危機と実際の危機との間のギャップは、準備が静かに侵食される場所です。

おそらく最も重要なのは、シナリオ自体の性質が変わる可能性があります。従来の演習は解決に向かう傾向があります。チームは問題に取り組みます。ファシリテーターは彼らをそれを通して導き、演習は管理可能なノートで終わります。AI 主導のアプローチでは、ファシリテーターが部屋の士気を管理する必要なく、複合障害、予期しないエスカレーション、および現実的な時間圧力をもたらすことができます。目標は、プランが存在することを確認する代わりに、プランが実際に壊れている場所を見つけることでした。

そして単一の年次演習とは異なり、スナップショットを生成し、繰り返されるサイクルは縦方向データを生成できます。応答時間が改善されるか、同じギャップが再発するか、プログラムが 6 か月前よりも確実に強いかどうか。そのようなトレンドデータを生成することは困難でした。また、インデックスを過剰にすることは簡単です。応答時間の改善を示すメトリクスは、組織がより適切に準備されていることを必ずしも意味しません。チームはシミュレーションでより良くなっているだけかもしれません。

次のステップ

テーブルトップ演習は私たちの職業に良く仕えてきました。危機準備に構造をもたらし、セキュリティチームとビジネスリーダーシップの間に共通言語を作成し、実際のことが到着する前に準備する方法をくれました。

AI 補強されたアプローチは、その伝統の次のステップを提供します。危機について議論することから経験することへの能力。テストされたことのない通信資料をテストします。インシデント対応プランが従われているか、単に参照されているかを観察します。スクリプト化されたシナリオが決して到達しないギャップを浮かび上がらせます。

これはスキルのあるファシリテーター（会社の CISO またはコンサルタント）に取って代わると考えていません。実行がよく行われた演習の後に続く判断集約的な事後分析のデブリーフングは絶対に不可欠です。バスケットボールのようなものだと考えてください。コーチは、あなたがプレーするのを見たことがある場合のみ、意味のあるフィードバックを与えることができます。AI 補強演習はゲームです。事後分析のデブリーフは、コーチングです。AI が行うことは、実際にプッシュバックするものに対して観察された行動の豊かなベースラインからファシリテーターの仕事の床を上げることです。

テーブルトップは成長する準備ができています。プログラムがそれとともに成長する準備ができているかどうかは、テクノロジーよりも、実際にプッシュバックするものに対してそのプロセスをテストする組織の意欲に依存しています。

この記事は Foundry Expert Contributor Network の一部として公開されています。
参加したいですか？