サイバーセキュリティが今ホットだって知っていますか

『経営とサイバーセキュリティ　デジタルレジリエンシー』(日経BP社/横浜新一/2018.3)という本を読みました。

おうちコーヒーと共に

読むきっかけ

4月からサイバーセキュリティチームに異動になったのです。が、知らない横文字ばかりで目を白黒させる毎日が続きました。
CAT、NIST、CISO、SIEM………

知らない言葉は調べたり教えてもらったりしましたが、「これは一度自分でもよくよく勉強した方がいいな」と思い古本屋を散策していた折にこの本に出会いました。

ハードカバーの本で、厚さは控えめ。さらっと読んだ感じでサイバーセキュリティを経営から紐解くための初読書としてちょうどよさそうだと思いました。

私はSEですから、脅威の検知とか、維持・運用ももちろんやるんですけれど、今の仕事は専らサイバーハイジーンな環境の構築です。
維持・運用する以前の問題というわけ。
だから経営的な視点も持ってサイバーのプロと(コンサル的にも、SIerとしても)仕事をやっていく必要があり「一読の必要あり」と判断しました。

私にとってのきっかけはそんな感じなんだけれど

ここで私の文章を読んでくださっているあなたにもちょっと興味を持っていただきたいので、蛇足かもしれませんがちょろっと余談をば。

サイバーセキュリティって、今超〜ホットな分野なんですよ。なぜでしょうか。電子決済とかが広がりつつある今、そりゃ大事だなって思いますよね。
それで、もちろん！セキュアな環境を構築した上で、各種サービスが提供されてるんだって、そう思いますでしょ？

でも残念ですけどそれは幻想です。

100%セキュアな環境は実現できないという話だけではなく、セキュリティに配慮した体制・環境って意外なほど整備されていない！

それに、たとえばMicrosoftが提供しているOS(Windows)なんかですら、頻繁に脆弱性が発見されてはそれを守るアップデートパッチが提供されているわけ。

ウイルス対策ソフトだって一度インストールすればよいわけじゃなくて、定期的にウイルスの定義を更新しなきゃいけない。
悪意を持った攻撃は日々進歩しているのです。

そんな中で、もちろん、よりセキュアな環境を保証してくれる会社と取引をしたいと顧客が思うのは当たり前。そうなると「よりセキュアである」ということは経営にとって保守を通り越して武器にすらなりうるわけです。

だから、「今、サイバーセキュリティ」。

読んでくださってありがとうございます。そういうことで、サイバーセキュリティが経営に深く関与するようになった今、経営層が考えるべきことって何だろう、世界の動向は？というのをざっくり示したのがこの本です。

当書の内容

箇条書きで申し訳ありませんが、ざっとこのようなところです。4点あり、書いてあることはそう難しくありません。

・なぜ今、サイバーセキュリティが経営課題になるのか(；事業継続性/信認を守る/成長の基盤)
・サイバーハイジーンな環境を構築するための要諦(まずは優先度に応じた多層防御→早期検知・対応・復旧の体制づくり→経営層での定期的なレビュー)
・ISACなどの取り組み
・公共財としての(ただし民間が経営している)サイバー環境を保持するために、マーケットメカニズムが必要

感想を2点述べますね。

個人的な感想①

「なぜ“今”サイバーセキュリティが経営課題になるのか」は普通に納得した上で、

サイバーハイジーンな環境を構築するための要諦の1点目でおや、と思いました。

「まずは優先度に応じた多層防御を」とあるわけですが、著者はここでこのように論じています。
ちょっと長いので画像で引用します。
蛍光線のところだけ読んでくだされば大丈夫です。

p.114-115

資産管理ソリューションを日本国内で探そうとすると意外なほど少なく(榊原調べ)、近年ようやっとそのようなソリューションが提供されてきたという事情があるのですが。その背景ってまさにこのような発想なんじゃないか？と思いました。

ビジネスの特徴や今後の市場の動向を勘案して優先順位をつけた上でその防御から入るという結論自体には賛成するのですが、
わたしは、段階的にでも資産管理(棚卸し)を進めていき、最終的に一元管理をするのが望ましいと考えます。

始まりが資産管理アプローチであるのは確かにスピード感として遅すぎるとは思いますけれど、こういうソリューションって並行的に行われるもので、(サイバーセキュリティにかかることなら尚更)
最終的にはサイバーハイジーンのために欠かせないソリューションではないでしょうか。

個人的な感想②

「公共財としての(ただし民間が経営している)サイバー環境を保持するために、マーケットメカニズムが必要」という意見には確かにな〜と思いました。(小並み感

言い換えると「サイバーハイジーンは当たり前に提供されるものでなく、金がかかる」ということにでもなるでしょうか。いわばもう一種のインフラなわけですよね。しかしサイバー空間は政府のものじゃないから税金でというわけにはいかず、各人が直に金を出して衛生を保たないといけないという…

サイバー空間に保管されるものがそれだけの価値を持つようになったと言い換えることも出来そうです。

結び

ポイントを絞って感想を述べちゃったんですが、日本と諸外国の比較など面白い要素も他にあるので興味がある方はさらっと読んでみたらいいと思います。これからサイバーセキュリティチームで働くにあたっての軽い読み物としては適切でした。

サイバーセキュリティを守ろうとしたら、関係のある社内規則も読みこなさなきゃいけないし、技術的なことも知らなきゃいけないし、
100%のセキュアな環境ってものがない以上、何もかも手探りでしかも並行して前に前に進まざるをえないんですよね。
個人的にはそういうことが辛くて(辛くはないか…怖くて、かな)がくがくしてます。

明日からまた暗中模索の再開ってわけですよ…
土日も勉強してあたしったらエラいと思うことにします。

この記事を読んで少しでもサイバーセキュリティに興味を持つ方が出てきたら嬉しいな。ながーい文章になっちゃいましたね。ここまで読んでくださってありがとうございました。

以上、榊原でした。