サイバーセキュリティ対策のマネジメントに必要な大枠を理解する。

2023年1月25日 22:50

文系でITに関するバックグラウンドが全くない中、いきなりセキュリティの部署に配属されて最初に読んだ本。

日本の金融業界を念頭に置いたサイバーセキュリティの課題をざっくり、俯瞰的に捉えることができる。
年々サイバーセキュリティのリスクが大きくなる中、一般教養としても必要な情報だと強く実感。

心覚えの箇所を記録。

・サービス、業務停止
DDoS攻撃やランサムウェアによるレピュテーションリスクや機会損失

・情報漏洩
個人情報や企業情報（経営秘密、知財、営業秘密、社内文書、社内システム情報）などの漏えい
→不確定要素や選択肢が多すぎて、情報漏洩のリスクを予測し、定量化することができない

攻撃の内容よりも攻撃を受けることでどのような被害が起きうるのか、といったことを多角的に考え、関係者間で事前に議論しておくことが重要

・2000年頃 脆弱性対策
ホームページの改ざん対応と脆弱性対策の考えが定着

・2000年代中盤 情報漏洩対策とネットワークレイヤーに加えてアプリケーションレイヤーにおけるセキュリティ対策の重要性の高まり
USBメモリ等による情報漏洩を中心としたセキュリティポリシーの策定などの組織的な動きが始まる
また、ネットワーク中心のサイバー攻撃がウェブアプリケーションへも波及

・2010年頃 侵入前提型の対策
標的型攻撃やDDoS攻撃、不正送金等の手法が一般化

ITによって引き起こされる社会的な変化が増える中、セキュリティ管理のあり方も技術の問題から経営管理的な観点（リスク管理）の考慮が不可欠となってきている。
しかし、セキュリティベンダ等外部のリソースに依存（丸投げ）しがち。

・セキュリティ対策を検討する上では網羅的かつ構造的なアプローチが非常に重要

・組織内にある情報資産を洗い出して自組織のことを理解し、かつ世の中のこと（どのような敵がいて何を狙っているか）を理解した上でリスクを特定する

・一組織で対応するには限界を超えており、極めて複雑、脅威の変化が早くキャッチアップが容易でない。そのため、社外の人たちと積極的に情報交換し、常に最先端の状況を把握する

・また、得た情報から、なんらかの活動（リスク管理の見直し等）につなげることができるか。不要な情報に必要以上にリソースをかけない、といった判断も重要で得られた情報を冷静に読み解き正しく判断する

・経営層人材、管理系人材、技術系人材が必要
うち、管理系人材に求められる能力
・対人能力
・組織内調整力
・構造化能力（抜け漏れなく全体を見渡して対応）
・抽象化能力（経営層への説明）

・AIの進化により攻撃が自動化されていき、防御側も自動化していく
・IoTの増加により今後はハードウェアを攻撃対象とする動きが出てくる
・また、ハードウェア自体にユーザデータを外部に送信する機能が付いているものが増え、購入の段階から考慮する必要

春期の授業が始まりました。
とりあえず、イギリスは寒すぎる。そして意外と雨が降らない。

この記事が気に入ったらサポートをしてみませんか？