🎲

会社内でIPAのセキュリティボードゲームを遊んでみた

2024/04/26に公開

はじめに

本記事では、独立行政法人 情報処理推進機構(以下、IPA)にて一般に公開されているボードゲーム、『Cyber Attacker Placement』を社内で遊んでみた体験を記載しています。
「やってみたいけど準備何すればいい?」「どれくらい時間かかる?」と言った思いを持たれている方のサンプルになればと思います。

※本ツールを取り上げた記事の作成、および写真の添付については、IPAに使用許可の問い合わせをし、許可をいただいています。

Cyber Attacker Placementとは?

中核人材育成プログラム.卒業プロジェクトの内、6期生が作成した成果物の1つです。

https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/index.html
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2023/cyber-attacker-placement.html

なぜこれを会社内で実施した?

主な理由は以下の通りです。

  • 筆者がこのボードゲームをやってみたかった。
  • 社内のセキュリティ啓発活動として新規導入できないか、実験がしたかった。
  • 自チーム内に予め、「メンバーがやりたいことを自主的に提案できる定期勉強会」が存在し、筆者の提案が通った。
  • IPA公開の資料の内、”今回の参加メンバーであるシステム開発者達が興味を持ってくれそう”として本ゲームを選択した。

主催者に求められる知識量は?

ただただボードゲームを遊ぶだけでしたら、特にセキュリティ知識なしで始められると思います。
(ルールの理解に少し時間が必要かも?)

一方で、セキュリティ啓発活動として取り上げる場合、(セキュリティ系メンバ内でやらないのであれば)事前にゲーム内にて登場する用語を整理しておく必要があると思います。
用語自体はどれも頻出用語で、ネット上の情報も充実しています。
メンバーが「これって何?」と思ったところで、すぐに意味の説明ができる準備をしておきたいです。

結論

準備や実践の説明をする前に、予め結論について書いておきます。

  • 厚紙などでボードゲームの補強をする場合、複数人での作業を推奨したい。
    → 意外と厚紙の入手に手間取るかも...?
  • ゲーム説明〜終了まで、1時間では足りなかった。
    → 用語解説などを落ち着いて行うため、2時間は最低限欲しい。
  • ボードゲームに不慣れな人は、丁寧な説明をする必要がありそう。
    → 冒頭30分弱のルール説明で脱落する人がいそう。
  • 想像以上にチーム内のセキュリティ知識量に差があった。
    → アンケート、およびアフターフォローなどを積極的にしたい。
  • ボードゲームの実施がチーム内外問わず非常に好評で嬉しかった!
    → 楽しく学べることの優位性が、他の学習方法に比べて高い。

準備編

ゲームボード開始前にやったのは、以下の4点でした。

  1. IPAより資料をダウンロード+印刷。(社内プリンタ活用で1分)
  2. 印刷用紙のみだと遊びにくいため、厚紙で補強。(材料購入のための移動など含め、2セット作るために10時間程度)
  3. ゲームで使うダイスを準備(手持ちやお店、印刷物を使うか次第)
  4. ルール整理+セキュリティ用語整理(2時間程度)

今回の準備時間は全て1人でやった結果なので、準備人数に合わせて短縮可です。
1と3は説明不要かと思います。

2について、通常のA4用紙に印刷しただけだと、吹けば飛ぶ上に透けてしまいます。
何通りか補う方法はあると思うのですが、今回は画用紙のような厚紙で補強をしました。
”都度厚紙を裏に貼ってから切断”という手順を取ったため、想像以上に時間がかかったものの、
最終的にメンバーが遊びやすい、満足のクオリティまで持っていくことができました。

4について、本ボードゲームはしっかりルールが定められており、なおかつ1ターン当たりに実行可能な行動が多いです。
ボードゲームあるあるではありますが、事前のルール整理は重要かと思います。
また、セキュリティ啓発活動の一環ということで、用語の質問があったときにはその返答の準備が必要です。
今回はルールに1時間、セキュリティ用語に1時間という割合で事前整理をしましたが、セキュリティ用語の整理にはもっと時間をとっても良かったかなと反省しています。

実践編

会議室を借りて、実際にボードゲームを遊んでみました。
参加人数が8人、ボードゲームの制限人数が3〜4人のため、予め2セット分のボードを準備しました。

時間的には、会場準備やルール説明などの事前部分に30分ほど、ゲーム部分30分ほどです。
とはいえ、プレイヤーがルールを把握し、スムーズに回り出すまで30分ほどかかったため、実際に遊べた時間は15分程度でした。

結果、各人が何回かターンを経験することができたのですが、これから面白くなりそうなところで中断となりました。
ゲーム中に”出てきた用語について議論の時間を作る”こと、終わりの際に”興味を持った用語を取り上げてもらう”なども実施し、メンバーからは高評価をいただいています。

一方で、啓発を目的とした初期の計画より、与えられた影響度が小さかった点は悔しいです。
幸なことに再実施の機会をいただけそうなので、次の機会ではより効果的な会を開くことができればと思っています。

振り返り

とにかく確保したゲーム時間が短すぎたというのが大きいです。
シンプルにゲームを終わらせたい場合、30分程度追加すれば良さそうなイメージでした。
しかし実際には、セキュリティ用語の解説や議論時間も欲しいため、全体2時間くらいの時間を確保する必要があったと考えてます。

また、”セキュリティ用語の整理が不足していた”という点も反省点としてあります。
もっと正確に言うと、”セキュリティ用語を伝えたり、議論を促進させるための準備が不足していた”と言えます。
せっかくゲームを通して、メンバー間でのセキュリティ議論が活発になっても、その議論を都度中断させる形でしか説明できないのは、メンバー側として気持ちよくないはずです。
具体的な形はまだイメージできてないですが、メンバーの楽しい気持ちを邪魔しない解説の形を模索することに、もっと時間を使っていれば良かったと考えています。

そして、”開催前と開催後の差分による効果測定”を行えていなかった点も、セキュリティ啓発活動として良くなかったと考えています。
併せて”会自体に対するフィードバック”などもヒアリングし、今後の活動の指針に活かしていけたらと考えています。

これから

やりたいことは、大きく以下の3つです。
1. 実施による影響度を測定するため、アンケートなどの情報取得/確認手段を検討する。
2. しっかりと解説時間や議論時間を確保した上で、再度ボードゲームを遊んでみる。
3. 本ボードゲームに限らず、他チームでも啓発活動をする。

今回の開催では、”技術系”かつ”普段から会話”するメンバーと遊びました。
しかし、セキュリティ啓発活動は特定のチームだけで完結させるべきモノではなく、会社全体をターゲットにすることが理想かと考えています。
となると、「技術系を専門としない方々に、セキュリティ用語をどのように伝えるべきか?」や「初対面のメンバーにもわかりやすく説明/進行できるか?」など、確認しなければならない課題がいくつか出てきます。

せっかく楽しくセキュリティを学べるツールを扱うことができたのですから、もっと多くの方にセキュリティへ興味を持っていただくべく、活動を続けていこうと思います。

Bitkey Developers

Discussion