投稿元:
レビューを見る
うちの会社の社長はどれぐらい気にしているだろうかと思って借りて読んでみた。
うちの会社はここに書いてあることほとんどできてないと思うけど、やったほうがいいんだろうな。
ただ、全体的に何をやればいいのかは何となく分かったのだけど、それをするためにはどうすればいいのかがわからなかった(HDDの暗号化ってどうやるの? とか)。
多層防御という考え方はなるほどと思った。パソコンだけセキュリティ強化しても、限度があるだろうしね。
ところで、パスワードの保護をゲームの世界で考えるというのは、経営層に伝わるのだろうか。だいたいの会社の経営層ってゲームやらないイメージがあるのだけど……。
中には、運転免許教習所で交通事故の映像を見せるみたいに、セキュリティ上のルール違反で情報が漏洩し、企業や自身が大変な状況に置かれるというビデオを見せて学ばせている会社があるらしい。何それ見てみたい。
投稿元:
レビューを見る
システム部門にいる人が、いくら言ってもお金を出してくれないと嘆く前に読むことが想定されています。
実際、マネジメント、特にマーケティング用語がたくさんでてきます。マネージャー向けのフレームワークを使って、セキュリティ対策を説明するイメージがつくと思います。
投稿元:
レビューを見る
セキュリティ対策に関する基本的な考え方や
アプローチ方法を体系的に学べる本。
当たり前のところもあるものの、改めて気づきが得られ、
セキュリティについて考えるときに大変参考になった。
マーケティングの考え方がセキュリティにも活かせる
というのは新たな知見だったかな。
【勉強になったこと】
・セキュリティ対策についても定量化が必須。
そのための手段としてFMEAというものがある。
リスク優先度算出時の構成要素:
発生頻度、影響度、防御困難度
それぞれに対して4段階で点数化し、
優先度の高い内容から対策を施していく。
場合によっては、影響度のポイントを上げる。
・セキュリティは「監視的コスト」
・セキュリティ対策
Get Secure:セキュアにする
- システム化、教育といった対策
Stay Secure:セキュアに保つ
- 検知、可視化、改善
・セキュリティでは問題解決のPDCAを回すことが重要。
Problem-Finding:問題発見
Display:可視化
Clear:問題解決
Acknowledge:確認
・PEST分析
Political:政治的環境要因
Economic:経済的環境要因
Social:社会的環境要因
Technology:技術的環境要因
・セキュリティ対策の4段階
準備 → 検知・分析 → 根絶・復旧・封じ込め
→ 事件発生後の対応
検知・分析部分の強化が早期発見への近道。
・セキュリティルール作りの際の考え方
ポリシー:情報セキュリティに関する基本方針
スタンダード:実施する対策
プロシージャ:利用する製品や管理手順
・内部不正に対しては、
機会、同期を下げることで発生頻度を下げるのがよい。
一例として、
操作ログを取得する
操作ログを分析する
管理者権限は申請時しか利用させない
セキュアな領域での作業は必ず2人1組
といったのがある。
・セキュリティ対策のCIA
機密性:アクセスできる人だけアクセスできる
完全性:更新権がある人のみ修正できる
可用性:いつでも使える
・マッキンゼーの7S
Shared Value(価値観):ソフト
Strategy(戦略):ハード
Structure(組織):ハード
System(システム):ハード
Skill(スキル):ソフト
Staff(人材):ソフト
Style(スタイル・社風):ソフト
投稿元:
レビューを見る
社長が自分にセキュリティ対策など聞いてくることなどない…
という方にも、おススメしたい本。
セキュリティ対策の考え方について、おさらいできるだけでなく、
それを経営層により効果的に伝えるためにどうしたらよいかを学ぶことができる。
セキュリティについて、よく知っている人も、
専門外の人も、何かを得られる本だと思う。
投稿元:
レビューを見る
初めて読んだ情報セキュリティ関係の本。
技術よりではなく、情報セキュリティ対策を推進する上で
経営層を説得するためにどうしたらよいかと説いている。
当然、顧客に提案するときにも使える。
セキュリティ対策を進める上で、必要となる手段として
マーケティングの手法が数々あげられている。
開発者よりも営業、企画の方が読んでも面白いのではないかと思う。
投稿元:
レビューを見る
積ん読してたのをようやく消化.経済・マーケティングのフレームワーク思考本は珍しくないけど,ことセキュリティの分野で,となると類例があまりなく.
投稿元:
レビューを見る
セキュリティ対策はとても重要なものだ。しかし、経営層にその重要性を訴えても、なかなか理解してもらえない場合がある。その場合の対応が参考になった。
どれくらい損失が発生する可能性があるのか具体的に示したり、図や表を使って視覚的に伝えることが大切だと感じた。
そうした説明を行なうためには、自分自身がセキュリティ対策についての知識を深める必要もある。しっかり理解し、説明できるようにしたいと思った。
投稿元:
レビューを見る
超流し見。
この本のポイントは専門外には理解に苦しむセキュリティについてどう経営者や社内に浸透させるか、そのためのアイデアとしてマーケティングや経済学のフレームワークを取り入れようとしていることだろう。
セキュリティ業界にずぶずぶに人にとっては当たり前なことがふんわり描かれている印象を受け物足りないかも。初学者や非専門家には良いかも。
-----
セキュリティ× 経営者へのコミニュケーション方法を説く本。
ざっくり言ってしまえば
「相手がわかる表現で、ビジネスインパクト目線で伝える」につきる。
セキュリティ ブランドイメージ向上の一石
ドラッカーの4種のコスト
生産
補助
監視
浪費
セキュリティは監視コストや補助コストに該当。
多層防御の考え方
物理→ポリシー→認証→NW→内部NW→エンドポイント→アプリ→データ
改善を考えるときはECRSの順で。
やめる→結合→置き換え→自動化
広告の効果測定 DAGMARモデル
→広告業界のフレームワークをセキュリティの浸透に応用。
「マーケティング大全」
購買プロセスの5段階モデル
ニーズを引き起こす
ニーズを満たす方法を調査する
ニーズを満たす方法を比較する
他人の評価などを参考に購入を決める
自身の判断の正しさを検証する