【ブックレビュー】経営層のためのサイバーセキュリティ実践入門
この本の冒頭にあるように、日本のDXはコロナ禍により大きく変わりました。私は社会人となってはじめてリモートワークを経験し、その後もリモートで働き続けています。苦痛だった通勤ラッシュから解放された一方で、「どこでも働くことができる」ことによるこれまでと異なるセキュリティを考えなくてはいけません。オフィスと違い個人の家には高性能なファイアウォールはありません。入退室管理、管理カメラもありません。VPNを使って社内インフラに接続することは大きなリスクがあります。
この内的状況変化に加え、外的な変化としては、これまでも散々当ブログで書いていますように、攻撃者がランサムウェアをサービス化して提供することで、サイバー攻撃のすそ野が広がっているという状況があります。KADOKAWA、イセトーのような大企業のみならず、中小企業すら攻撃対象となります。この本にあるように「まだ自社への順番が来ていないだけ」という危機感を持ったほうがよいでしょう。
最近私の会社でも、上司や取引先企業から「会社のセキュリティは大丈夫か」と言われる頻度は増えてきました。セキュリティ対策は待ったなし、契約を締結し売り上げを得るために不可欠な経営課題となっています。現場からボトムアップでセキュリティ対策をおこなうのではなく、事業戦略にセキュリティを組み込みトップダウンで各事業部に対して、できるセキュリティ対策の実施を指示する必要に迫られています。サイバーセキュリティ対策は「コスト」ではなく「投資」、それも必要不可欠な投資。サイバーセキュリティを実践することは経営者の責務、という時代のトレンドになっていることは間違いありません。
このことは政府も認識しており、経済産業省が昨年サイバーセキュリティ経営ガイドラインというガイドラインを制定しました。私もこれを読んで取締役向けに資料を提案作成したのですが、優先度が高い別業務が入ってしまい、ほこりをかぶっている状態です。 当時は上記サイトを見ながら我流でやったのでよく分かっていなかった(今もよく分かっていませんw)のですが、この本はサイバーセキュリティ経営ガイドラインに掲載されている図や表を使いながら、組織にどう反映させていくのかを分かりやすく説明してくださっています。この本は経営層向けに書かれていますが、経営層と認識を合わせ、手を動かすのは現場のセキュリティ担当です。互いに手元に置いておきたい本です。
この本が念を押しているのが、セキュリティは目標達成の「サポート」であるという点。当然ながらビジネスにとって利益を上げることが目的で、セキュリティ対策自体が目的ではありません。つまりセキュリティを考えることが目的化してはならない、考えるべきは「ビジネスの目的を達成するためのセキュリティ」セキュリティの目標はビジネスや組織の目標に紐づくべき。ビジネスに勝つためのセキュリティを提案する(コスト・ビジネスのスピード)セキュリティを適切にコントロールするべき、セキュリティは無くてはならないものの一方、サポートする役割です。ただしそのためにはどこまで対策するかは「どこにリスク受容を置くか」を決めなければいけません。リスクは0にはできませんから。それをふんわり決めるのではなく定量的に決めるためにはSLEやALEを利用できます。しかしそれを算出する時間はそのまま工数だよなぁ・・・。アウトソーシングしたくなりますが、会社として外部委託に任せられる作業と任せられない作業があり(それについてもこの本で説明されています)、注意しましょう。
そしてこの本も”インシデントハンドリング”に丸々1章割いていいます。もはや今のトレンドはセキュリティ事故は起こるもの。いかにインパクトを抑えるのかのようです。うんざりな話です。 情報としてはCISSPでも出てくる用語が多々ありますが、知っていると実践できるとでは大きな違いがあります。紹介されているランサムウェア事例はこれまで読んできたどの本よりも細かく事象が説明されているので、攻撃を受けてしまった理由の各ポイントが自社で大丈夫なのか、確かめるために役立ちます。 セキュリティコントロールに終わりはなく、これだけのセキュリティ対策を行ってもインシデントは起きてしまうことに、自分が所属する業務カテゴリーの途方のなさを感じます。船降りてぇ(N回目)
余談ですが、この本はNECのCISOが執筆したこともあり、NECの実例が紹介されています。NEC自身セキュリティ関連のビジネスを展開しているため、宣伝も入っていますが、組織体制や活動報告を読むと「ここまでやっているんだ、大企業はすごいな」となります。真似できないわけですが、大手の取り組みを知ることできました。自分が所属するような、中小企業に仕事を委託してくる大企業はこれに近しい組織体制だったりするのでしょうね。