セキュリティ対策でよく使われる「孫子の兵法」の例えと活用法
コメント
注目のコメント
非常に興味深い記事です。
「サイバー攻撃やその被害は、痕跡がなければ存在自体の証明が難しいし、ほとんど人には痕跡すら目に見えない」がゆえに、対策が進まないということですが、多くの企業は被害を受けてからセキュリティ対策の重要性に気が付きます。
DX時代の到来を迎えて、少なくとも社内のIT環境がどういう状態化を把握して、可視化しておくのが必須だと思います。「彼を知り己を知れば百戦して殆(あや)うからず」
己を知ることが大変困難。
経営サイドのメンバーだけでなく、予算取って発注するメンバーらも己の事を知るのは困難で、もしかしたら関心すらないかも知れません。
システムエンジニアや、プログラマなら分かってるか、と問いかけても 当然「否」。OSやミドルウェア、フレームワークやライブラリ全体を見渡して、完全に己のサイバーな肉体を把握することは困難です。
「己を知る」為には、アーキテクトの仕事が大切になります。それも、フィット&ギャップして落とし所を見出すタイプではなく、DXのロードマップを頭に描き続け最短を走るタイプのアーキテクトです。
現実は複雑で理解が難しいですが、
シンプルで本質的なDXからアーキテクチャを見出すなら、複雑なシステムやデータやオペレーションから、抑えるポイントを論理的に極所化できます。己の守る場所を少なくすると知り得て守りやすくなります。
データー蓄積とアクセス手段に対しても、汎化と層別で論理的にシンプルを狙うべきです。 更新や削除を許さない、QoSレベルを必要最小限にして実装過程全てで明確化、脱マスターでプロビジョニング型への変革など、色々知恵が沸いてきます。データは守るだけでなく、オペレーション正常復帰させやすい、という考え方も大切かだからです。腐ったデータ相手に数日間 苦闘するなんて状況は是非とも避けるべきでしょう。
丸投げ組織ではなく、内製DevOps組織をユーザー部門にまで広げて、総員当事者の仕掛けも 望まれます。セキュリティやクラウドのスペシャリストの知恵を借りるのは、DevOps体制の後です。
「己を知る」とは、サイバーな世界で言い換えると
「己を知り得る」こと。己を知り得る仕組みが肝要だと いち早く認知して、足早に仕掛けていく事だと、言えるかも知れません。
継続に己を知り得て、俊敏に対処できる組織で力を付けていくなら、「百戦して殆(あや)うからず」な状態に近づけるでしょう。可視化されないと現実の脅威として認識できない
しかし有名企業が身代金目的に被害にあっているし、決して他山の石ではありません
コロナもそうですがBCPの観点からも、セキュリティ対策は待ったなしで必要かと