1/5 PAGES
2/5 PAGES
3/5 PAGES
4/5 PAGES
① 何を持っているか
持つべき一覧は2つ。まずは「技術の目録」だ。委託先、利用しているSaaS、データの保管先、アクセス権限などが、どこにあり、誰がどこまで触れるかを把握しておきたい。そして、「ビジネスの重みの一覧」も重要だ。どの部分が事業にとってどれだけ痛いかを整理しておくこと。この2つを重ねて事業リスクを知っていると、脆弱性ニュースが出た日の初速が変わる。
② どう守られているか
持っているものに、ふさわしい守りが置かれているか。守りの手厚さは、①で測った重みに見合うようにしたい。無防備なところもあれば、たいして痛まないものに過剰な出費をしているところもある。しかも守りは1枚ではない。侵害を防ぎ、起きていれば気づき、それでも起きたら元に戻す。その重なりで考える。「これさえあれば絶対やられない」手段などないからだ。
③ どう動かし続けるか
仕組みは入れて終わりではない。保護がフィットしているかどうかは定期的にアドバイスを求めて見直すべきだし、保護の仕組みを含めてシステムを利用する人や組織も進歩が求められる。確かに、新しい脅威には、新しい取り組みが必要かもしれない。しかし、新しい道具には投資するが、人や組織の訓練には投じない企業は少なくない。運用訓練にコストをかけるかどうかという点に、経営の本気が出る。
要は、最新の脅威を懸念して何らかの武器を買い増す前に、まず手をつけられることがあるということだ。すでに何を持ち、どこに業務の急所があり、取捨選択をどうするか。そして、どんな「業務運用上の例外」が残っているか。火が出てから消防団を結成するのではどうやったって遅い。
5/5 PAGES
