【読書録】サイバーセキュリティ対応の企業実務

「サイバーセキュリティ対応の企業実務 平時・有事における組織的・法的対策の進め方」という、IT部門がいかにも弱そうな部分にフォーカスしてくれた本を読みました。(以下リンクにはアフィリエイトを含みます)


何の本?

IT部門だけでなく組織全体でサイバーセキュリティに取り組まねばならない中「実務において留意すべき点や、把握しておくべき技術や法律を学びたいと考える経営層や各業務部門の方々がいるのではないか」("はじめに"より)という考えのもと書かれた書籍です。
そのため、一部にはEDRといった技術的な要素を含みますが、サイバーセキュリティに関する組織作り、法令、備えの解説に主眼が置かれています。


構成は?

全6章、323ページです。
ページ配分からも分かる通り、第4~5章がメインです。
編著者は杉山一郎さんと寺門峻佑さんのお二人で、第4~5章は8名の各プロフェッショナルが執筆者として登場します。

  • 第1章 なぜ今、サイバーセキュリティへの組織対応が必要なのか(16ページ)

  • 第2章 サイバーセキュリティ対策で押さえておくべきこと(25ページ)

  • 第3章 サイバーセキュリティと組織経営(25ページ)

  • 第4章 平時における備え(139ページ)

  • 第5章 有事対応(危機管理)(99ページ)

  • 第6章 代表的な事案とその対応例(14ページ)


感想

「知らなかったことが沢山知れた。読んで大正解だった」が一番の感想です。
私はIT部門でありセキュリティ担当ですので、サイバーセキュリティとは何ぞや、どんなインシデントが起こっているのか、どんな技術的な対策が必要か、といったことは既に知っています。そのため、1章、2章と4章の一部は理解の確認程度でさっと読み飛ばす程度でした。
一方で、4章や5章で書かれている、どのような法令を背景にサイバーセキュリティ対策が求められるのか、インシデントが起きたら何に基づいていつまでにどこへ報告しなければならないのか、といった部分は貴重な学びとなりました。
本書の内容と自社の備えを比べて背筋が寒くなったポイントも何か所かあり、その意味で読んで大正解だったと言えます。
また、法令について門外漢であっても読みやすいよう平易な文章で書かれていることもありがたかったです。


概要

以下、3~5章の概要を著作権侵害にあたらない範囲で触れます。

第3章
この章は本書の中では少し異質で、メインの4~5章に入る前に、「経営視点でサイバーセキュリティを実践されてきた」3名へのインタビューをまとめています。
個人的には、過去にnoteでも取り上げた(こちらつるぎ町立半田病院の事業管理者を担われている須藤さんの話が興味深かったです。
技術的な話ではなく、対応に不慣れな組織でセキュリティインシデントが起こった時に人はどうなってしまうのか、そんな時に何が大切になるのか、という人間的な部分を知ることができました。

第4章
平時からの備えということでマルウェア対策、インテリジェンスの活用、CSIRT構築といったセキュリティ担当には馴染みの深い話から始まります。
その後、法的な話に入り、会社法、改正個人情報保護法、民法、刑法、サイバーセキュリティ基本法、海外法令と触れながら、私達にはどんな義務が課されているのか、違反するとどんな処分があるのか、コトが起きた時にいつまでに誰に報告しなければならないのか、それにどう備えるのかが書かれています。
この他、日本の個人情報保護法とGDPRでは個人情報が指す範囲が異なることや、GDPR以外の米国や中国の法令もざっと知ることができました。

第5章
一般的なインシデント対応の流れから始まり、有事の際にはステークホルダとしてこんなCxOがこんな役割で関わるはずだとか、社外の各機関や組織はどんな目的で報告を求めるのかといったことが分かりやすくまとまっています。
その後、フォレンジックやeDiscoveryの話があり、ここでも単に証拠保全が大事というだけでなく「秘匿特権」を前提としたデータの分類など学ぶことができました。

そして本題のインシデント発生時における法的対応については、各種法令に基づく報告や公表の話を大きく3つのフェーズに分けて解説しています。
一口に報告や公表といっても、相手によってまとめるべき情報や注意点が異なることや、公表後に想像される各所から殺到するであろう問い合わせへの備え方など、実践的な内容が書かれていました。

私達IT部門は、セキュリティインシデント対応といえば止血、調査、復旧と目の前のIT環境と格闘することだけに集中しがちですが、インシデント対応をするIT部門メンバの中にも報告・公表系の窓口となる専任者を作っておかないと回らなくなるだろうと感じましたし、平時から法務担当ともっとコミュニケーションをとる必要性も感じることができました。
また、インシデントにより生じる損害賠償責任や対応費用など、普段なかなか知ることのない情報があり参考になりました。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?