セキュリティを学ぶのに必要な2つの視点とは?:【新連載】Hackademy・実践的サイバーセキュリティの学び方(3/3 ページ)
ITが苦手な人にも詳しい人にもセキュリティは難解かもしれません。本連載では、そんな人々がサイバーセキュリティへの理解や知識を分かりやすく学べる方法を紹介していきます。第1回目は、いまのセキュリティで大切な2つの視点を取り上げます。
ビジネス面における視点
記事の冒頭で述べた通り、ビジネス面からのアプローチは現在のサイバーセキュリティ対策において非常に大切なファクターです。テクノロジー面と同様に、攻撃と防御の双方の視点を持つことが重要です。
事実、攻撃側はビジネスの一環として攻撃を行っています。ブラックマーケットへ行けばマルウェアを購入できますし、例えば、ファイルなどを勝手に暗号化してしまうランサムウェアの中には「Ransomware as a Service」と呼ばれるクラウドサービスを通じて提供されているものもあります。攻撃のためのサプライチェーンを確立しており、サイバー攻撃を役割分担の整った、投資ビジネスの一つとして捉えているとさえ言えます。
このような攻撃側のビジネスモデルやマネタイズ方法を理解することで、ビジネス面のセキュリティ対策のコンセプトは大きく変わります。
これまでは「サイバー攻撃の被害に遭わないようにするにはどんなツールをどう使えば良いのか?」だけを考えていた人もいたと思います。しかし、「相手が投資の伴う効率の良いビジネスとしてサイバー攻撃を行う」という視点を得ると、サイバーセキュリティ対策のコンセプトに「攻撃者に投資を回収させないためには?」とか、「攻撃者の投資対効果を下げるには?」という視点を得られ、セキュリティ対策がトレードオフだということが分かってきます。だからこそ、攻撃視点でのビジネス面を知っておく必要があるのです。
ビジネス面における防御の視点では、サイバーセキュリティ対策が自社の事業継続にとって、また、経営リソースにとってどのように重要なのかを整理し、把握しておく必要があります。コンプライアンスも意識しなければならないでしょう。つまり、この問題をITプロフェッショナルの関連部門が共有するためだけの内容にとどめてはなりません。自社内の全部門、経営陣、投資家、その他各種ステークホルダーに対して、サイバーセキュリティ対策の理解を得られるようにすべきです。
繰り返しになりますが、サイバーセキュリティは「技術・運営の現場の問題」から「役員会・経営会議で語られる問題」へと移ったと言われています。その役割は、「保険」から「戦略的な投資」へ進展し、「Security as a Business Enabler」として認知されるようになってきました。セキュリティ対策をしっかり確保することによって初めて安心して事業を行うことができ、生産性を発揮できるのです。
本稿では、テクノロジー面とビジネス面の双方からのアプローチをしっかりと学習しておく必要性について述べました。攻撃と防御の視点が適切なサイバーセキュリティ対策を導入するために不可欠であることも述べました。サイバーセキュリティ対策は、攻撃者という対戦相手がいる分野です。対戦相手の目的や手段を知ることで、より適切な対策を導入できます。
この問題に取り組むため、テクノロジーもビジネスも、攻撃視点も防御視点も全てを両輪で学習し、わたしたちHackademyと一緒にセキュリティレベルを底上げしていきましょう!
Hackademy Project
執筆者紹介
・岡田良太郎(おかだりょうたろう)
ビジネス活動にセキュリティを実現するコンセプト「Enabling Security」を掲げ、技術実践とビジネス推進の両方の視点からセキュリティ推進事業に従事している。OWASP Japan代表、WASForum Hardening Projectのオーガナイザとしても知られる。また、一般実務担当者に向けたセキュリティ教育や、ビジネス・ブレークスルー大学「教養としてのサイバーセキュリティ」を担当するなど、非技術者向けの講演も多数。公認情報システム監査人、MBA。
・蔵本雄一(くらもとゆういち)
筑波大学非常勤講師、日本CISO協会主任研究員、公認情報セキュリティ監査人、CISSP。プログラミング、侵入テスト、セキュリティ監査、セキュリティマネジメントなど、セキュリティ対策の上流から下流工程まで幅広くカバーする活動を中心に、近年は経営層への普及活動を行う。近著は「もしも社長がセキュリティ対策を聞いてきたら」(日経BP社刊)。その他執筆、講演など多数。
関連記事
- 攻撃も防御も社長の説得術も伝授、セキュリティの有志が「Hackademy」創設
攻撃の手口を知れば、対策が分かるし、経営層にも説明できる――そんな学びの場を提供しようと、セキュリティ業界の有志による教育プロジェクト「Hackademy」がスタートした。 - 意外にあるぞ、無料で強力なセキュリティの教科書
こんなに分かりやすくセキュリティについて解説していて、無料でいいの!? 今回は、そんな驚くべきセキュリティコンテンツを紹介します。 - 世界や米国にみるセキュリティ人材の育成術と日本の課題
加速するビッグデータビジネスにおいて、情報セキュリティをコントロールできる人材の育成が追い付いていないのは、万国共通の悩みだ。クラウドコンピューティングやクラウドソーシングを活用して、将来を担う人材へテクノロジーと運用管理の両面の経験/スキルを学ぶ場を提供する動きが世界中に広がっている。 - 情報セキュリティ教育をおろそかにする弊害
さまざまな情報セキュリティ対策のアプローチの1つとなるセキュリティ教育。今回はその重要性と課題を洗い出し、課題を解決するための方策を考察していきます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.