Cyber兵法

兵法書からセキュリティ対策を考えます

兵は国の大事なり

孫子 始計篇より 「兵は国の大事なり」

現代語要約


 軍事は国家にとって重大事である。人の生き死や国家の存亡がかかっている。そのためよくよく考えないといけない。

 五つの基本事項でこれを計測し、七つの基準で敵味方、双方を比べて、実情を調べるのだ。

 五つの基本事項すなわち、一に道、ニに天、三に地、四に将、五に法、また七つの基準すなわち、民衆の支持を得ているか、司令官は有能か、気候や地形の条件はどちらに利しているか、法令は厳正に行われているか、兵卒たちは強いか、兵卒の熟練度はどうか、賞罰は公正か、これらを比較・調査をして戦う前から勝ち負けを予測するのである。


 セキュリティ翻訳


 セキュリティ対策は組織において重大事である。インシデント発生は組織の評判は下がり、損失が発生し、もしかしたら組織の存亡につながる可能性がある。そのためよくよく考えないといけない。

 五つの基本事項と七つの基準で自分の組織に対して自主監査をするべきだ。

 五つの基本事項すなわち、一に方針、ニに外部環境、三に内部情勢、四に経営層、五に規程、また七つの基準すなわち、組織内からCSIRT*1の存在は認められているか、経営層・CISO*2は有能か、組織を取り巻く環境はどうか、規程は正しく守られているか、CSIRT人員のスキルは高いか、組織の人員のITリテラシーに関する教育は十分行っているか、CSIRT人員への人事評価は妥当か、これらを自主監査してクラッカーに備えるのである。


 

注釈

 こんなブログを読んでる方はセキュリティ対策の大切さがわかっていると思いますが、まだまだコストの面でしかみていない方が多数かと思います。もちろんセキュリティ対策はお金だけがかかり、リターンが見えません。なので投資対効果も算出しづらいのはたしかです。しかし、インシデントが発生し、顧客情報流出や超極秘営業秘密の漏洩してしまうと組織の存亡に直結します。

 セキュリティ対策は経営者が取り組むべき経営課題だ、ということを経産省IPAが打ち出しています。企業においての「将・司令官」とはまさに経営者やCISOをさしています。システム部部長やCSIRTのリーダーに最終責任を負わせる、なんてことはできません。

www.ipa.go.jp

 

 それを踏まえたうえで、セキュリティ対策の計画をする際に自分の組織の現状をチェックしてみてください。もちろん、どんなセキュリティ製品を入れているかも大切ですが、セキュリティ分野の技術は日進月歩で変わっていくものに対して、経営者の姿勢や組織の人員のリテラシーなど、すぐには変えることのできないヒューマンな部分に関してもしっかり見直す必要があります。これらの自主監査をしっかり行って、効率よくセキュリティ対策を実施していきましょう。

f:id:fushigiakiha:20170617175514p:plain

 

*1:Computer Security Incident Response Team/コンピュータセキュリティにかかるインシデントに対処するための組織

*2:Chief Information Security Officer/最高情報セキュリティ責任者