背景
CISSPの勉強を開始しようと思い、ネットを調べていたところ発見した本です。
勉強に直結しないものの「CISSPの考え方」「セキュリティとの向き合い方がわかる」ということでしたので、読んでみようと思いました。
本書のテーマ
タイトルにある状況を想定して、セキュリティを知らない相手にどういうふうに説明したらいいかが書かれています。
セキュリティの知識を持っていても、それを説明するのとはわけが違う。
特に経営層などマネジメントを司る人たちにセキュリティの必要性を説明するにはどうしたらいいのか。
マーケティングや戦略の観点から書かれていてすごく面白いですし、この観点がCISSPに必要なところなのではないかなと思います。
個人的なポイント
1、新たなソリューションを検討するときは比較する
比較する方法はコンジョイント分析などを用いる
2、多層防御はBATNA
BATNAは交渉が決裂したときの代替案を用意するという考え方だが、多層防御はこれに似ている。
もしEDRを突破されても、データは暗号化されているのでデータは守れるなど。
3、BYODのメリット
最近、問い合わせをいただくことが多いが、BYODを実現するには細かい部分まで気にしないといけないので、その分メリットも明確にしないといけない。
メリットの一つは可用性が向上するということ。
いつでもどこでもどんなときでも仕事をできる可能性ができる点。
例えば、災害時も仕事が可能となる。
4、自社が目指すセキュリティと現状のギャップ分析
ゴールからの逆算の考え方だが、このときも業界標準と比較するのがいい。同業他社と比較するのもいいだろう。この同業他社比較は経営層が最も気にする部分だ。
5、セキュリティのルールが社内に浸透するまで
イノベーター理論と同じように波がある。キャズム克服をできるかが鍵。
6、購買プロセスを活用することで説得する
「危険です」ではセキュリティ機能を導入するには至らない。経営側はセキュリティに投資する側=商品を購入する立場と考えるとこの理論が生きてくる。
7、リスクを点数化する
どれくらい危ないかが定量的にわかるとありがたい。発生頻度、影響度、防御困難度を採点して分析する。
8、マッキンゼーの7Sを考える
組織運営を考えるフレームワークでヌケモレを防ぐ。組織の方向性からセキュリティを考えられるので、局所的な考え方から抜け出せる。
1番心に残ったこと
セキュリティ機能を社内に導入する重要度を改めて認識しました。仕事では、セキュリティ製品を提案する立場にいますが、担当製品、担当のセキュリティ領域にしか目を向けていなかったかもしれません。この本があると、視野、視点、視座が変えられるのではないかと思いました。
今後やれること
担当製品の分析
今後の市場の動向分析
提案方法の変更
まとめ
お客様と話すとき、自分にどんなことが求められているのかを考え直すきっかけになりました。セキュリティを導入するに当たって、会社の方針となぜ導入検討に至ったかを考え、横比較やリスク分析、どのような状況を目指すのかということを把握して提案できると、質も変わってくると思います。