第39回 正義のプロトコル戦略

企業単体の話では収まらないサイバーセキュリティは、事業連携先との関係を考慮しなくてはならない問題です。いったい、どういったサイバーセキュリティ・プロトコル（協約）を、どういう考え方で当事者間で結んでいけばいいのでしょうか。少し遠回りのようですが、哲学の一分野である倫理学の概念を借りて、強烈なサイバー攻撃への耐性、という問題を考えてみたいと思います。今回取り上げる道具としての概念は、『正義』です。

2023/10/03

第38回 剣が峰のCISO

日本でも、情報セキュリティ責任者（CISO）の仕事が重視されてきており、内部昇進だけでなく、社外からの招聘もかなり行われています。一般的にCISOが負うべきリスクとその境界線はどの辺りなのでしょうか？ 反対に、どこから企業のリスクとなるのでしょうか？

2023/09/05

第37回 「させる事もなき花」か？

世のあらゆるビジネスは、地政学的な影響を受けています。居ながらにしてリスクの真っ只中です。ただ、サイバーの観点からみると、少し色合いが違って見えるようです。

2023/08/02

第36回 受身が身に着けば達人

BCPのプロが集うリスク対策.comにおいて、演習ネタを書くのは無謀な事と、今まで禁じ手にしてきました。ですが、最近、自分自身がサイバー攻撃模擬演習に参加する機会を得て、その体験を反芻するなかで、ああ、こういうことなのか、と実感しましたので、書かせて頂くことに致します。

2023/06/29

第35回 ガバナンスの階段を楽に上がる法

ガバナンスの質を上げていくための階段を上がるのも、実に大変な労力が要るものです。サイバーセキュリティのガバナンスには、また独特の難しさがあります。世界的にも企業におけるサイバーセキュリティのガバナンスの質の向上が長年課題とされています。

2023/06/01

第34回 測る、量る、計る

ステークホルダーにサイバーリスクを説明するには共通の尺度が必要になります。しかし、サイバーリスクは、組織によってそのパターンやインパクトが異なるため、単純に単位では測れません。では、サイバーセキュリティはどんな計測の仕方をするのが国際標準なのでしょうか。

2023/04/27

第33回 ソクラテスの産婆術

欧米の一流企業のCISOにも悩みはたくさんあります。パンデミックの大洪水が引いて久しぶりに出社しても、以前の芸風では、尊敬されることはおろか生き残れないかもしれません。そうした中で、今求められているスキルは、新しい技術に関する知識よりも、知を産み出す対話力だというのです。

2023/03/24

第32回 AIにおける社会的責任論

対話型AIが話題です。新たな市場が創出される期待だけでなく、サイバー攻撃への悪用についても、このところメディアを賑わせています。世界のサイバーセキュリティプロフェッショナルの間でも、様々な観点から議論されています。

2023/02/27

第31回 2023年度サイバーリスク対応方針

今回のブログでは、ISFの「ISF年次脅威アップデート：2023年の新たな脅威」というオンラインイベントにおけるSteve Durbinのスピーチの概要を共有します。

2023/01/14

第30回 「サイバーリスクトレンド」役員会報告

CISO、あるいはサイバーセキュリティ責任者として、来週の役員会への出席を求められました。「サイバーリスクトレンド」として割り当てられた時間は、5分間。さて、皆様なら、どのように報告原稿を準備されますか。

2022/12/16

第29回 飛耳長目の次が肝心

サイバー脅威インテリジェンスは、サイバーセキュリティ対策だけでなく、経営の視点からしても有用なものです。脅威インテリジェンスが、ビジネスにどのような価値をもたらすか紹介します。

2022/11/28

第28回 「ロボティクス三原則」再見

AIとビジネスの問題領域では、情報セキュリティの課題に加えて、「倫理」の視点を忘れることはできません。AIをしっかり統御して、「邪心を持たせない」ためには、どうすれば良いのでしょうか？

2022/11/08

第27回 デジタル企業五口（ごくち）に八策

鎌倉七口、元を辿れば京都七口と言って、幕府や都への入り口には切通しを開いたり関所を設けたりして、通行を制御したそうです。サイバー空間の中に、企業がすっぽり入ってしまったのは、まだ、そう昔というほどではありませんが、パンデミックで大きく変化したサイバー状況を踏まえて、日本企業各社は、サイバー空間の通行制御にどう取り組むべきでしょうか。

2022/10/06

第26回 サイバーリスクのモデリング

前回は、サイバー保険という、ある意味外部の知恵に対して、なけなしの予算を振り向けるべきか、という視点で、サイバーセキュリティ実務の最前線を見てみました。今回は、サイバーリスクに対する脅威シナリオの描き方、さらにはそれを全社リスクモデリングの中に組み込んでいくビビッドな実務の知恵を学びたいと思います。

2022/09/15

第25回 待ち望まれるサイバーワクチン

サイバー保険市場は紆余曲折を経ながらも成長しています。つまり、メリットを見極めて付保する企業は間違いなく増えています。サイバー保険の付保をするべきかどうか、というテーマを考えてみたいと思います。

2022/09/01

第24回 揺れる船の操舵術

これまで三回にわたって、船（企業）が揺れるなかでのサイバーセキュリティ戦略や戦術の留意点を見てきました。ある意味で、揺れは航海には付き物ですから、そもそも平時の情報セキュリティだけではサイバーセキュリティは乗り切れない、という言い方もできるかもしれません。

2022/07/22

第23回 船上まで食料を届けさせる技

ロシアのウクライナ侵攻の影響で、黒海等で商船140隻が足止めを食い、船員1,000人以上の食料不足が危機的な状況に陥ったとのニュースが生々しく伝えられました。デジタルでつながった「海」に浮かぶ我々の「ビジネス船」は、紛争時にも新鮮な食料（データ）の補給（サプライ）を受け取れるでしょうか？ 実は、国際的なサプライチェーンのセキュリティには、日本の実務には無い仕組みが隠されています。

2022/07/10

第22回 壇ノ浦で二の矢をつがえる技

前回は、M&Aにおけるサイバーセキュリティ術の話でした。セキュリティスタンダードに明るいだけではなく、人々の心理の動くさまをよくとらえて行動しなければならない、ということが要点でした。一言で言えば、ワキマエル、ということでしょうか。同じ会社の中にいても、情報管理のルールや社内組織の動きは特殊な状態にあるのですから、神経を使うのは当たり前かもしれませんが、役者のように役回りに合わせて行動するのは、誰にでも簡単なことではないでしょう。

2022/07/05

第21回 揺れる船と舟を繋ぐ技

今回から２、３回は、経営環境やデジタルリスクの諸相も揺れ動く中で、どのような判断や行動をしていけば良いのか、国際的なセキュリティ実務の最前線をご紹介しつつ議論したいと思います。サイバーセキュリティの戦術展開力をいかに高めて、企業経営に価値貢献するか、という視点で論を進めます。

2022/05/31

第20回 名を捨てて、配当を取る

前号で、英国の2022年サイバー戦略について少し触れましたが、どうして国家戦略から「セキュリティ」の文字が消えたのでしょうか？ セキュリティにはますます力を入れているのに、戦略ペーパーのタイトルから外した理由を考察してみます。

2022/05/09

第19回 サイバー時計の針

サイバーセキュリティの経営上の位置づけが急速に高まっています。上場企業の経営指針の一つとなる「投資家と企業の対話ガイドライン」では、ESG/SDGs、DXと並んで位置付けられ、経営戦略の一つの要素としての深化が要請されています。英国では、民間企業の経営上の懸念という位置づけからさらに進んで、経済・社会の大きな広がりの中の重要な課題であり、また機会でもあるとして捉え直されています。

2022/04/21

第18回 グローバル供給網を安全にする「振り付け」

今回は、日本の国内サプライチェーンセキュリティ体系を、「グローバル供給網」に広げるときに、何が必要か考えてみたいと思います。ポイントは3点です。一つ目は、スナップショットのセキュリティ監査で安心することなく、「継続的な保証」プログラムを作るコツ。二つ目は、国内チェーンから「グローバル供給網」に視野を広げる場合の鍵。そして、三つ目は、関係当事者にセキュリティシナリオに沿って実際に踊ってもらう「振り付け」の算段、です。

2022/03/15

第17回 認知バイアス

サイバーセキュリティに気を付けていても、バイアスによって不正解に導かれてしまうことがあります。どのようなバイアスがあって、情報セキュリティの観点からどういう問題がありうるのか掘り下げます。バイアスを理解することは、企業が情報セキュリティに対するアプローチを変えていく上で大いに役立ちます。

2022/02/14

第16回 信用しないことで、信頼を得る

この数年、セキュリティ業界においてあちこちで聞かれる「ゼロ・トラスト」。誤った認識を持たれているケースもあるようです。改めてゼロ・トラストについて掘り下げます。

2021/12/27

第15回 「朝四暮三」の妙

苛烈さを増すランサムウェア攻撃。今やセキュリティという一分野の人々の問題ではなく、経営リスク環境における全役職員の問題となっています。法外な身代金要求を受けてみて初めて、「払うべきか、払わざるべきか？」と考えるのではなく、リスク対応に幾ら、何時払うと「出費を抑えられるか？」ということを考える段階にきているのです。

2021/11/24