いち社会人として「山」をつくるために、経営者むけセキュリティ本を読んでみた
はじめに
気づけば2025年も1ヶ月が経過していました。。積読がたくさんありますが、最近読んだ本のアウトプットをしようと思います。
その仕事、全部やめてみよう――1%の本質をつかむ「シンプルな考え方」
読もうと思った理由
履歴を見たところ、2024/12/26に購入したようですが、正直なところ買った理由があんまり思い出せません。多分、自分がやりたい仕事以外でやらないといけないことが多くて悩んでいたとき、この本を目にしたのかなぁと思います。
「谷」を埋めるな、「山」を作れ!
表紙にもありますが、この言葉が本書の最も伝えたいことと思います。マイナスを0に戻す(不得意な部分を直す)ことに注力するのではなく、強みを伸ばせ、ということです。
基本的に、誰しも人・モノ・サービスのネガティブな部分はすぐに見つけられて、逆にポジティブな部分はなかなか見つけられないと思うんです。
だからネガティブな部分ばかりに目がいって、その部分を直そうとする。「マイナスをゼロにする」と考えるので目標も設定しやすいからだと思います。一方で、ポジティブな部分はすでにゼロよりも大きいプラスなので、意図を持って目標設定しないといけなくて、伸ばそうとするのが大変なんですよね。
僕自身も自分自身に対しても他人に対しても谷を埋めようとする性格が強いので、今一度見直さねばと思いました。
「ラストマン戦略」で頭角をあらわせ
組織の中で自分が一番詳しくなれそうな領域を決め、「あの人が分からないなら、他の誰も分からないよね」と言われるような、最後の砦とも言うべきスペシャリストを目指す成長戦略のことだそうです。
チーム内で最も一番詳しくなったらグループ内で一番になり、次は社内や業界内での一番を目指す。そんなように、自分の山をどんどん大きくさせる成長戦略のことです。
確かに、いきなり社内で一番は難しくてもチーム内・グループ内と段階的にレベルアップすれば良いと考えると、目標を立てやすいですね。
経営者のためのサイバーセキュリティ講義 サステナブルサイバーセキュリティ
読もうと思った理由
普段、コーポレートエンジニアとしてヘルプデスクやセキュリティ強化の推進をしているのですが、経営者から見るとどんな感覚なのか?経営者と話す時にはどんな視点に立つべきなのか?という疑問が湧いたため、読みました。
サイバー攻撃は脆弱性がなければ発生しない
脆弱性を是正するために、いろんなツールや運用をするわけですが、「脆弱性を把握(可視化)し、是正(修復)し続ける」が原理原則です。
もっとステップを分けるならば、会社が管理している「情報資産を認識→評価→脆弱性を把握→評価→対応」なのです。この原理原則を実現するための日々の取り組みとして、以下が重要であると整理できました。
①情報資産を認識するために、ツールや台帳で情報資産を管理する。
②脆弱性を把握するために、日々進化するITの情報をキャッチアップする。
③優先順位をつけるために情報資産・脆弱性を評価する。
④対応漏れがないように脆弱性に対応するために、必要なツールを導入する。
サイバーハイジーン・サイバーレジリエンスに観点を分ける
取り組みを進める前に、取り組みを「サイバーハイジーン」「サイバーレジリエンス」に分けると良いです。
サイバーハイジーン
IT環境をウイルスなどの汚染から守り、健全な状態に保つためのセキュリティ対策。ハイジーンとは、「衛生」を意味する。
サイバーレジリエンス
サイバー攻撃や自然災害などの困難な状況でも、事業継続を可能にする取り組み。レジリエンスとは「もとの形に戻ろうとする力」を意味する。
まずはサイバー攻撃をから守り(サイバーハイジーン)、仮に守りを突破されても早急に元に戻れるようにする(サイバーレジリエンス)、ということです。
本書ではコストの観点からも見やすい表にしていただいていました。こんな感じで、サイバーハイジーンをしっかり取り組めば、仮に何かあった時の対応コストが小さく済むのです。
サイバーハイジーン・サイバーレジリエンス強化の具体的な取り組み方
実際、サイバー攻撃のプロセスから辿ってみても、辻褄はあいますね。本書に掲載があったサイバー攻撃プロセスとそれにもとづくセキュリティ対策の順序を整理してくれた表です。
管理されていない・脆弱性があるデバイス、アプリを探していき、見つかったらそこから侵入して攻撃を始めます。そのため、管理していないものを減らす>何かあったら検知・対応できる状態にするという順序で取り組む必要があります。とはいえ、すべてを100%にしながら次のステップに進もうとするとレジリエンスが低くなるので、そこは見極めが必要ですね。
経営陣とIT部門、お互いの興味関心にギャップがあることを認識する
いろんな取り組みをするには予算が必要です。しかし、経営陣が気にしているポイントを押さえないと、話が噛み合わないですね。
何に関心があるのか・ないのかを本書が整理してくれていました。
各論は図の通りですが、要するに経営陣は会社経営に与える影響を常に気にしています。そのため、IT部門が経営陣に説明するときには、同じ視点で説明が必要です。
日々、安心して事業に取り組めるのは土台であるITが安定しているからです。そのため、IT部門が経営陣に歩み寄るだけでなく経営陣も他人事だと思わずに、会社経営に必要なピースであると理解したうえで話を聞き、判断する必要がありますね。
おわりに
一旦、仕事関連で最近読んでた本はアウトプットしましたが、小説を3冊ほどよんでおり、それはまた別の機会に感想を書こうと思います。
積読がまだまだたくさんあるので、早く読んでアウトプットせねば…!