apology board game
A game of an incident apology press conference.
謝罪会見ボードゲーム
インシデントの謝罪会見をするゲームです。
謝罪会見のロールプレイをすることで、インシデント発生時にどのように調査/対応を進めるかを考えます。
概要
プレイ環境
このゲームのプレイ環境は以下の通りです。
- プレイ人数
- 2人以上(1チーム1名で2チーム。ゲームマスター(司会)兼任)
- 6+1 人以上を推奨
- 1チーム3名で複数チーム構成、ゲームマスター1人
- 人数が足りない場合は、
- 所要時間
- 30分程度(2チーム時)以上
- 全体での準備 10分
- 1チーム10分程度の謝罪会見(会見 + 他チーム質問)
- 難易度
- 備考
- ゲームマスターとして、インシデント対応経験者がリードするのが望ましい
- このゲームの性質上、得点のような分かりやすい指標がないため、進行を制御する必要がある
- 可能であれば、コーチングのような形が望ましい
ゲーム概要
インシデントが発生し、状況の確認や対応を検討/決定し、謝罪会見を行う。
謝罪会見後は、他のチームがマスメディアのような役割で質問を行う。
事前準備や検討を十分に行い、会見後の質問であることないことを書かれないような落としどころを目指す。
- チームを決める
- 人をチームに振り分ける
- チーム内での役割を決める(後述の、社長/広報/情シス など)
- インシデントを決める
- カードやゲームマスターの指示により、チームごとのインシデント状況を決定する
- 状況に対し、チームで謝罪会見に向けた検討を行う
- 10分程度、インシデントにより発生した影響/発見経路/一時対応などを、チーム内で決める
- 今後の拡張で、発見経路や対策の制限をするカードを導入想定(EDRは無い、フォレンジックは使えない(資金制限)、など)
- チーム毎に謝罪会見を行う
- 広報による謝罪会見(発生した事象に対する広報)を行う
- 他チームより、質問を行う
- 影響がどのようになりそうか、今後どのようになるのか、という観点から質問を行う
- すべてに正確に答える必要はなく、謝罪会見時点で影響がある人が納得できそうな状況に落ち着ければよい
詳細
以降、順次検討/記載
ゲームの目的
ゲームによる教育効果
チーム編成
そのほか
ゲーム作成に関し、要望や意見を募集しています。また、ともに検討いただける方を募集しています。
- Issueや twitter:hogehuga まで連絡ください。
Tips
広報担当者割当について
なるべく、インシデント対応の経験がない方を割り当てたほうが、教育効果は高いと思われる。
どのような情報を出すべきか/出さないべきか、リリースを出すという行為で発生する反響、などを体感できる。
- いわゆる、技術はわからないので情シスに言われたまま喋りました、が危険であることも体験できる
- 実社会でも同様なことが起こるため、技術者以外が担当するのが望ましいように思える
社長担当者割当について
資金的制約を自らに課す「縛りプレイ」など、難易度をコントロール可能。
基本的には、技術的な面よりも、株価や顧客価値などを主体として対応を検討する。
- 縛りプレイ: セキュリティ投資を渋っていたためログは3日分しかない、サービスサーバのセキュリティのみに投資し クライアント対策はしない、など。
- 最初は特に対策コストは考慮せず投資していたものとし、対外的に納得ができるリリースになるか(漏洩であれば、利用者保護がされたか/準備中か、等)を意識する。