CxO(経営層)のための情報セキュリティ 経営判断に必要な知識と心得

Cレベルが晒されているセキュリティ上の問いや課題がどういったものなのか把握する一助となった。第二、三章など技術要素についての解説はエンジニアからすると深くはないので復習程度として。「事業継続性」へ影響を与えるリスクコントロールの考え方については学びとなったので、より理解を深めていきたい。

情報セキュリティのお勉強。経営層向けに書かれているので、技術的なところはそれほど踏み込んでいないので、読みやすかった。 ・アメリカのDHSのホームページで出されている「五つの問いかけ」 ?経営層は自社の事業に対する情報セキュリティリスクに関する現状及びその影響度がどのように特定できているかを把握しているか？ ?自社の情報セキュリティに関する現在の具体的リスクとそのビジネスに対する影響度は何か？このリスクに対して具体的にどのように対応しているか？ ?自社の情報セキュリティプログラムは、業界標準とそのベストプラクティスをどのように活用しているか？ ?通常の業務期間中にどの程度、どのようなセキュリティインシデントを検出しているか？経営層への報告は適切なタイミング、頻度でなされているか？ ?情報セキュリティインシデントに対しての対応計画は、どの程度包括的か？それはどのような頻度でテストされているか？ ・ベネッセ個人情報流出問題 　…同社の社内ネットワークには、従業員の誰かが大容量のデータをダウンロードする際、システムがアラートを発する仕組みがありました。しかし、情報が漏えいしたDBは、このアラート機能を有効にしていなかったのです。また、業務用PCから顧客DBへのアクセスについて、ログは記録していましたが、そのログを定期的に監査する仕組みもありませんでした。 　ベネッセは決して、セキュリティ対策を何もしていなかったわけではありません。USBメモリ書き込み禁止ソフトウェアについてだけでなく、ISMSの認証も取得していました。さらに入退室の監視を行なうカメラも設置され、PCも当然持ち出し禁止。基本的なセキュリティ対策を怠っていたわけではないのです。しかし、わずかな隙が今回の事件を引き起こしたのです。 ・責務の分離 　「セパレーション・オブ・デューティー」という考え方があります。必要な情報にのみアクセス権を与えるという意味です。この考え方に基づいて、データベースの運用管理者には、運用管理の権限のみ与え、中に入っている情報そのものをオペレートする権限は与えない。反対に、データベースの中の情報を扱う人には、全体の運用管理に関する権限はもたせない、とするのが原則です。 ・イランとサウジアラビアの事件(2012年) 　2012年8月15日、サウジアラビア国営石油会社のSaudi Aramcoは、社内の情報ネットワークの一部コンピュータがウイルスに感染し、社内ネットワークを外部のネットワークから切り離したと発表しました。また同日「正義を貫く刀」と名乗る集団が、「Saudi Aramcoの3万台のコンピュータを破壊した」との犯行声明を出しました。 　原油生産には影響が生じなかったものの、10日後、Saudi Aramco社は、社内のコンピュータ3万台が感染したこと、感染の拡大を防ぐため、社内ネットワークをすべて分離した上でマルウェアを除染したこと、Webサイトが復旧していないこと、犯行の背景は不明であることを発表しました。 　その後、カタール第2位の国営石油会社RasGasでも同じマルウェアの感染が広がり、業務システムがダウンしたことが発表されました。

前半は、あまり知ることがないサイバーセキュリティ犯罪、戦争の紹介にはじまり、インターネットの基本の説明。 ようやく第４章からの６０ページほどがセキュリティ体制のお話。ISMS管理策をもとに説明していて、いま一番知りたいところだったのですが、ここが一番ページ少なかったのは残念。それでも、いくつか次の取り組みのヒントがみつかり、読んでよかった。 そういえば、最近よくいわれる、「問いかけ」。 正しい、適切な問いかけさえできればよいというリーダーシップスタイル。 この本は、経営者向けなので、ドラッカーを引き合いに出して、経営者が問うべき５つの質問（これはこれで本当に経営者に理解してもらう必要のある項目で、この本の価値あるところ）の説明にも力入れてます。 でも、みんながみんな質問ばかり投げかけて、「実行」できる人がいなくなると、それはそれで適切な対処とれるものも、とれなくなる。実行するための知識について、もう少し理解を深めておきたいところ。 どんな本がいいんだろ。