虎の穴開発室ブログ

虎の穴ラボ株式会社所属のエンジニアが書く技術ブログです

MENU

「サイバーリスクマネジメントの強化書」を読んだ感想 #虎の穴ラボ Advent Calendar 2023

Advent Calendar 2023 書評 セキュリティ 技術エントリ
  • 本記事は虎の穴ラボ Advent Calendar 2023の23日目の記事です。(予約投稿)
  • 昨日はT.Hさんの「【VOICEVOX × RVC】ずんだもんに自分の声で喋ってもらった 」でした。
  • 次回は吉岡さんの「Ruby3.3の新機能を先行レビューしてみた」です。

読んだ理由

こんにちは、虎の穴ラボ植竹です。 昨今、セキュリティインシデントの事件を数多く聞きますが、他人事ではありません。 自分も長くサービス保守のエンジニアをやっていますが、いつ攻撃を受け被害に合うかわからない時代になってきています。

今回はそんな中でセキュリティ対策における意識を高め、自分の組織でどのような対策を打つべきなのかを振り返るために評判の高かった本書を読むことにしました。

基本情報

タイトル サイバーリスクマネジメントの強化書
著作者名 CRMJ研究会
監修者名 梶浦敏範、佐藤徳之
ページ数 216ページ
ISBN 9784526082467
発売日 2023/01/30

サイバーリスクマネジメントの強化書 - 日刊工業新聞社 公式オンラインショップ|Nikkan Book Store

書籍の目次

目次

第1章 サイバーリスクマネジメントは取締役の法的義務
1-1 米国の先進事例からの学び
1-2 サイバーセキュリティはビジネスリスク
1-3 海外法規制への対応

第2章 サイバーリスクを”見える化”するヘルスチェック
2-1 サイバーリスクを軽減するための投資と予算配分
2-2 脆弱性分析とリスクマッピング
2-3 リスクファイナンスとして保険を活用
2-4 ゼロトラスト

第3章 脅威の監視・分析やトレーニングの重要性
3-1 サイバーリスク管理における取締役の役割
3-2 サイバーハイジーンと取締役に求められるリーダーシップ
3-3 脅威分析や対応策を担う専門組織の設置
3-4 CISOの役割と必要性
3-5 サイバートレーニングと社員教育の実施

第4章 サイバーインシデント発生時の対応・復旧
4-1 改正個人情報保護法への対応
4-2 インシデント対応

第5章 再発防止策
5-1 被害を前提とした対応の重要性
5-2 改善・再発防止策を講じる

全体的な感想

「サイバーリスクマネジメントの強化書」は、取締役や経営層を対象にした内容ですが、中級管理職やエンジニアなど、幅広い読者に価値のある一冊だと感じました。 個人情報や機密情報を取り扱う会社なら、認識すべき問題を取り上げており、組織がサイバーセキュリティに取り組む際の指針を示しています。 本書は、サイバーセキュリティに関する専門知識がない方でも理解できるように書かれており、自身の組織における課題を考えるための優れたガイドとなるでしょう。

1章

1章では、経営層にとってのサイバーリスクマネジメントの義務と重要性について詳しく説明されています。 特に、2つのポイントが注目されます。 まず、サイバーセキュリティに取り組むには、他の組織や企業との連携が不可欠であり、自助と共助の意識でセキュリティを確保する必要があると述べられています。 次に、人材教育の重要性が強調されています。 組織全体でリスクを理解し、内部規定を設けるなどして、ヒューマンエラーからの事故を防ぐためです。 さらに、サイバーセキュリティへの取り組みは費用ではなく投資として認識されるべきであるとも強調されています。

2章

2章では、具体的な取り組み内容について詳しく解説されています。 組織が自身の脆弱性を正確に把握し、リスクに対応するためには外部ツールやサービスの活用が重要であると述べられています。 外部の脆弱性診断や、Bitsight、Security Score Cardなどのリスク可視化のためのツール活用も紹介されています。 また、中堅・中小企業にはIPAの対策ガイドラインに従って対策を行うことも推奨されています。

3章

3章では、組織がサイバーセキュリティに取り組む上での重要なポイントに焦点が当てられています。 ゼロトラストの理念や基本的な対策の重要性が強調されます。 さらに、組織全体でのリスクコントロールの重要性を認識し、サイバーセキュリティに関するトレーニングと教育を実施することが強調されています。

また、CIOとは別にCISO(Chief Information Security Officer)という役割を設け、企業のシステム全般におけるリスクコントロールを担うことの必要性も説かれています。 CISOはセキュリティに対する知見だけではなく、予算や人的リソースの確保などが必要で経営側との交渉力も重要な職能となり、今後より希少価値の高い人材であるというのが分かります。

4章

4章では、具体的なインシデント発生時の対応方法について解説されています。 個人情報漏洩時やランサムウェア被害時の対応など、異常事態に備えて適切な対策を行うためのプロセスが紹介されています。 これらの記載されているプロセスは、組織が自身のサイバーセキュリティ対策を評価し、改善する際の手順として役立つでしょう。

5章

最後の5章では、再発防止策の重要性について言及されています。 一度サイバー攻撃を受けた組織は再び攻撃の標的にされる可能性が高いため、再発を防ぐ対策が重要です。 章では、重層的なセキュリティ対策の重要性やシステム環境の脆弱性管理、意識向上のための教育プログラムの実施が推奨されています。

またゼロデイ攻撃が活性化している昨今、システム環境の脆弱性を突かれる事案も多く、 迅速なパッチ適用など継続的な監視と改善活動が必要と強調されています。

終わりに

ひととおり読むだけでも、自組織がサイバーセキュリティ強化に何が必要か、どういった施策を実施すべきかが浮かんでくる良書でした。 その中でも、全社員への「人材の教育」が特に重要なポイントと言われており、 経営層の積極的なリーダーシップと全従業員に対するサイバーセキュリティへの意識と能力の向上が、組織全体のセキュリティ体制を改善するための鍵となることを認識しました。

本書は、組織がサイバーセキュリティを強化するための具体的な手法とガイドラインを提供しています。 経営層や中級管理職、エンジニアなど様々な読者層が、自身の組織におけるサイバーセキュリティに対する考え方や取り組み方を見直す上で役立つでしょう。

書籍「サイバーリスクマネジメントの強化書」は、サイバーセキュリティに関心のある方には良書と言えるでしょう。 自身の組織のセキュリティに関する認識を振り返り、脅威に対する適切な対策を講じるため、ぜひ一読してみてください。

採用情報

虎の穴ラボでは一緒に働く仲間を募集中です!
この記事を読んで、興味を持っていただけた方はぜひ弊社の採用情報をご覧ください。
toranoana-lab.co.jp