【ブックレビュー】サイバーセキュリティ対応の企業実務

2024, Feb 18    

X(旧twitter)でも話題の書籍。そういえばBluesky、招待制のうちにアカウントを作っていたのに、結局全く使っていない。Xの荒廃加減は目を覆うような状態ですが。

第１章ではなぜ今サイバーセキュリティの組織対応が必要なのかが問われます。実際体感でも情報漏洩のニュースは増えているように思えます。世界でも目に見えてサイバー戦争が起きており、ランサムウェア犯罪は国際化・洗練化しているのは過去紹介してきたほんのとおり。なのにサイバーセキュリティ人材は不足しています。この本でも紹介されている「サイバーセキュリティ経営ガイドライン」は僕も会社に導入できないか取り組んだこともあります（が、セキュリティだけ手を付けていられないのはベンチャー企業の宿命かもしれません）

この本に書かれている内容は王道にして結局のところ最短の道です。自分がセキュリティレベルを高めるにあたり参考にした公的なドキュメントがたくさん紹介されています。最初からこの本を知っていれば、という感じですｗ 職場でセキュリティ業務に携わっている身からすると、セキュリティリスクを０にすることは不可能です。どんなにツール・ルールを充実させてもお金をかけても、最大の弱点は人間であり、完璧な人間などいないのですから完璧なセキュリティも存在しません。そのため肌感として、情報漏洩を完全に防ぐことを目標とはせずに、いかに早くセキュリティ事故に気がつくか、いかに早くデバイスをロックしたり、データを遠隔削除したりするなどで情報漏洩を防ぐか、に注力するべきと考えます。 もう一つはその最大の弱点である従業員のセキュリティレベルを向上させること。昨年は会社でeラーニング（優秀者の懸賞）、セキュリティのコラム（自作記事）、アップデート情報の共有などそれなりに力を注ぎました。今年はフィッシングメール訓練もやりたい・・・。

この本の大きな特徴として「平時の備え」に多くのページを割いていること。CSIRT（Computer Security Incident Response Team）という名前からはインシデント対応組織の印象がありますが、実際には平時の備え、事前のセキュリティ強化でインシデントが発生しないように努めることが大きなミッションです（そのせいで「セキュリティ事故起こらないじゃん」と予算削減の憂き目にあう哀しい組織なのですが）情報収集、社員への啓発、社内のセキュリティ状態の分析と予防施策などやるべきことがたくさん。参考リンクを載せて紹介されています。クラウドを使用した越境（国をまたぐ）情報保持がDR目的で行われることも検討されることが少なくない時代ですが、この本はかなり広く深く実践的に説明しています。GDPRで知られるEUから米国、中国のリスクについても。検討が必要な人にとってはありがたいでしょう。 やることが多い、とてもやりきれないという絶望感がありますが、いきなりあれこれ手を付けるのではなく、Xヵ年計画を立てて適宜修正しながらやっていくとよさそうです。 今一度2年前に会社で立ち上げたセキュリティーポリシー委員会の成果をクラウドストレージの奥底から取り出して、メンテナンスと品質改善をしなければ、という気持ちになりました。

様々な人のインタビューが掲載されているのも特徴。トヨタの人のインタビューでは、サイバーセキュリティとは自動車のシートベルトのようなものと書かれています。シートベルト無くても自動車を運転できないわけではありませんが、安全・備えとなります。セキュリティもそれと同じ。技術、製品、サービスを導入することはもちろん、それに対して従業員に意識を向けることが大事。トヨタの人も「組織が大きくなるほど持ち出しリスクは０にできないため、むしろ暗号化やリモートワイプ、迅速な情シスへの報告が大事」と僕の肌感覚と同じことを言っていました。 イオンの人へのインタビューでは、平時でもレポートを提出する重要性が語られ、ランサムウェアを受けて有名になった半田病院へのインタビューでは、VPN使っているから＝十分な対策にはならないという耳の痛い言葉も。

この本を読んで改めて実感するのは平時の備えの大切さ。 セキュリティ対応の役割分担を今一度チェックリスト形式で何やった、何できてない、を確認し、自分たちの組織規模、体制から（ある程度セキュリティの優先度を伝え、ねじ込んだとしても）できる範囲を考えて計画を立てることが必要です。ただ、大手企業でもないかぎり、1社員がセキュリティに特化した仕事をすることは難しいです。僕もCSIRTを作りたいと数年前から会社で言っているけれど、我流、付け焼刃で半端なものを用意するよりは、コンサルタントに依頼するのが良いかもしれない。「CSIRT コンサルタント」で検索すると、大手企業が自身のノウハウをアウトソースできるこの手のビジネスをおこなっているようです。

次に有事対応（危機管理）。自分は平時での対応は（それなりに）出来ているけど、有事（インシデント）の対応手順がぜんぜん足りていないことを再認識しました。考えたくないことですが、備えておかなければいけません。僕も会社では「もし想定外の事象が発生したら」の手順書を作っていますが、この章で書かれている内容はそんな局所的なものに囚われません。純粋な現場での復旧対応から、CXOやバックオフィスへの報告、株主訴訟対策のeDiscovery、弁護士対応など、やるべきことが具体的に説明されています。うんざりするほどやることがあり、この本を読むと、** セキュリティ対策にかかる費用（金銭、人間の工数）＜＜＜セキュリティ被害のあとかかる費用（金銭、人間の工数）なのは明白** です。ランサムウェアのニュースは毎日のように報道されていますし、他人事ではありません。 これを経営層にどれだけ理解してもらえるか、ですね。ランサムウェア被害は会社規模の大小を問わず無差別に狙われますし。

自分のキャリアをセキュリティに持っていきたいという気持ちが強くなる本。経営層がセキュリティに対する高い意識を持っているけど、言われたことをやるのではなく、自分から会社のセキュリティの課題を経営層に説明し、対策を動く２０２４年にしたい。 一方でこの本に書かれている平時の備えなどで書かれているタスクを、企業内で一人セキュリティスペシャリストが実施するのは困難でしょう（自分のようにセキュリティが兼業という人もいるはず）ということは鍵はセキュリティのアウトソーシングにあるのかな？とも思いました。