本書を手に取った背景
CISSPの勉強するにあたり、読んでおきたいと思い手に取った。
経営者がセキュリティを考えるとき、いろいろな観点から説明がなされているようだったので読みたいと思いました。
本書のテーマ
セキュリティに関する組織づくり、データのセキュリティ、内部不正、責任、法令や法制度についてQA形式で書かれている。
「こんなときどうしたらいい?」という具体例にもなっているのでとっつきやすい。
個人的なポイント
1,BCMというのもある
BCPはよく聞いてたが、2012年にISO22301としてBCMが国際規格化されてる。事業継続管理という。
2,CSIRTだけじゃない
PSIRT、FSIRTというのもある。P=組織が提供する製品やサービスに特化したセキュリティチーム。F=工場内のセキュリティ。CSIRT=組織全体で考える、サービスのインフラなどを対象としてる。
3,最低限の対策で必要なものは?
「避難訓練」。全社で取り組むものや他社セミナーに参加するのもいい。
4,GDPRに違反したとき
過去の事例では、61億、250億の罰金になった例がある。
5,サイバー攻撃にあった場合の対応
被害の最小化、詳細調査、初動対応、報告、相談、届け出、公表、責任追及、再発防止などやることがいっぱいあって、やっぱりセキュリティ対策は大事。
6,サイバー保険
https://www.cybereason.co.jp/blog/ransomware/8355/
少し聞くようになってきた。
サイバー攻撃により企業に生じた第三者に対する「損害賠償責任」「費用」「喪失利益」を保証するもの
7,セキュリティ対策推進のロードマップ
コントロールが実装、整備されてる→コントロールが自動化されてる→効果測定されサイクルが回ってる
これが流れ。
8,摘発事例
最近では不正アクセス禁止法違反が断然多い。他人のアカウントで不正にアクセスすること。
今後やれること
・お客様と話すときのねたになりそう
・コンサル的なことによってくる
・犯罪という視点をもつ
まとめ
警察の方が書いている内容もあり面白かった。
警視庁の方が登壇しているセミナーもあるので、見方が変わりそう。
セキュリティは技術ではなく、犯罪に関係しているという視点をもっともったほうがいいかもしれない。