近年、ランサムウェア等の被害は自社のみならず、取引先や利用者を含むサプライチェーン全体へ深刻な影響を及ぼしています。セキュリティ対策は技術や規定だけでなく、一つの「システム」として機能する必要がありますが、運用の実効性を問うテストやデバッグが不足しているのが現状です。 そこでJNSA CISO支援WGでは、具体的な攻撃シナリオを用いた「机上演習」により、施策の有効性や関係者の役割（R&R）を検証する手法を提案しています。本講演では、机上演習の概要と狙い、施策への展開について考察するとともに、実際のワークショップを通じて明らかになった「躓きやすいポイント」についても紹介します。