なので、以下のサービスが統合されたSuper Appが登場したら、事業会社のセキュリティは完成よ。 - vCISO - Visualization - CNAPP(RuntimeDetection + Vuln mng) - ThreatIntelligence - SOAR (with workflow) - Task/Ticket mng 監修するから誰か作ってｗ #経営とセキュリティ

実際に料理するとき、細かい調理手順の説明をすると "わからない" となって興味が失せる子も出てくる。 これセキュリティにも言えて、 知識ない方にセキュリティ対策をざっくり説明しただけだと、インシデント時に「聞いてたのと違う」となる。 平時から継続的な啓蒙が大事。 #経営とセキュリティ

【必2】のリスク予兆となる指標(KRI)の監視 に必要な ✅モニタリング体制 はセキュリティ専任組織の役割です。 よくある侵入検知の監視の他に、最新の攻撃動向のニュースなどをチェックし、自社のリスクも高まっていないか検討し対策の追加や優先度変更などをすべきです。 #経営とセキュリティ

【必2】のリスク予兆となる指標(KRI)の監視のためには、 ✅モニタリング体制 ✅定期報告のためのレポートラインの構築 が必要になります。 また、継続的改善のためには事業とバランスを取りながら施策をする必要があるため、 ✅横断的セキュリティ組織の構築 が必要です。 #経営とセキュリティ

#経営とセキュリティ というタグでの投稿内容は、 ✅事業会社におけるセキュリティマップ として個人的に整理したものをトピックごとにアウトプットしてます。 （需要の有無に関わらず、他人に説明するための再整理の意味も込めて） マップ全体はこんな感じ（個社名の掲載はありません） pic.twitter.com/SoWBonVdkt

ここまで【必1】について話したので、もう一つの必須対応である 【必2】リスク発現の予兆監視と継続的改善のための体制/レポートライン構築 について次回以降、話します。 #経営とセキュリティ

セキュティリスク評価→対応計画策定→実行までやればOKではある。 が、対策完了までリスクは放置？、1年後にはベスプラが変わっている等のセキュティの早い外的環境の変化に対応するため 3️⃣リスクの発生予兆となる脅威状況の指標（KRI）の監視 が必要と考える。 #経営とセキュリティ

企業における必須対応の1つ、 【必1】事業リスクに基づくアセスメントと継続的改善 は、以下3つのプロセスで実施する。 1️⃣情報セキュリティリスク・アセスメント 2️⃣セキュリティリスク対応計画の策定 3️⃣リスクの発生予兆となる脅威状況の指標（KRI）の監視 #経営とセキュリティ

以前、企業におけるセキュリティのTODO書いたけど、必須の2つについて具体的な推進方法ついて、また少しずつ書いていきます。 #経営とセキュリティ

NISTのガイドラインについて紹介する前に背景について 2001年09月: テロ発生（米国政府の取組に大きく影響） 2002年12月: FISMA（連邦情報セキュリティマネジメント法）を制定し、情報システムのセキュリティ強化を義務付け 2003年01月: FISMA向けの規格・ガイドラインを策定 #経営とセキュリティ

企業におけるセキュリティのTODOの推進ガイドとして、経産省の「サイバーセキュリティ経営ガイドライン」を紹介しましたが、似たもので、IPAの「中小企業の情報セキュリティ対策ガイドライン」があるので紹介。 説明資料で29頁あるって(本体が70頁なのに)…読む気失せるわぁｗ #経営とセキュリティ

経営におけるセキュリティの役割を定義しTODOを洗い出した。 【必1】事業リスクに基づくアセスメントと継続的改善 【必2】リスクの予兆監視と継続的改善のための体制構築 【推1】第三者認証の取得・維持 【推2】"(事業領域) ✕ セキュリティ"での想起獲得 これ、どう推進する？ #経営とセキュリティ

ということで、やるべきことは見えてきたが、コーポレートガバナンス以外にも、 ・サイバーセキュリティ経営ガイドライン（経産省） ・中小企業の情報セキュリティ対策ガイドライン（IPA） などのガイドラインが存在するので、そちらも考慮したほうがいいと思われる。 続きます… #経営とセキュリティ