Trailheadモジュール「Cybersecurity Risk Management」覚え書き
本記事は、Trailheadモジュール「Cybersecurity Risk Management」の覚え書き、気づきの整理です。
サイバーセキュリティリスクマネージメントの話。
このモジュールでは、組織が企業のDNAにサイバーセキュリティを効果的に埋め込むための10の原則のうち最初の5つを学習する。残りの5つは、別モジュール「Cybersecurity Threat Prevention and Response」で学習する。
本来なら1モジュールにすべき内容な気がしなくもないが、1トレイル2モジュールという形式を取っている。
本モジュールとは別に、サイバーセキュリティの情報が提供されている。 trailhead.salesforce.com
Learn the Principles of Cybersecurity
- 効果的なサイバーセキュリティプログラムを実装する:
不要なリスクからビジネスを保護するためのテクノロジーとサイバーセキュリティ、その2つの使用方法を考えて優先順位を決めるリーダーが必要。 - サイバーセキュリティを効果的に埋め込むための10の原則:
Think Like a Business Leader
- リーダーがサイバー責任とビジネスへの影響を理解する→ビジネスに積極的な役割を果たすことができる。
- 経験豊富なリーダー:テクノロジーがビジネスの目標を前進させる新しい可能性を発見するのを支援する。
- サイバーセキュリティについての考えをビジネスの実現にシフトする
→ 組織のテクノロジープログラムと顧客のニーズを満たすビジネスの成功の両方が強化される (サイバーセキュリティとビジネス戦略の目的が一致するため)
Foster Internal and External Partnerships
- 効果的なリーダー:危機の前にパートナーシップを発展。 インシデントが発生した場合に、人々が自分の役割を理解できている。
- 公共部門と民間部門の両方のリーダー:信頼の文化を創造する責任があり、特定の部門の安定に寄与する政策を開発するために協力することが重要
- 内部および外部のパートナーシップを活用することにより、
リーダーは組織のサイバーセキュリティの共有ビジョンを作成し、組織のリスクに関する全体的な理解を深め、一般的な脅威から保護することができる。
Build and Practice Strong Cyber Hygiene
- コアセキュリティ原則の実装に失敗した場合、攻撃に対してより脆弱になる。(電子機器を水で洗っているイラストはどうなんだ?w)
- コアセキュリティ原則
- ハードウェア、ソフトウェア、データ資産を特定する、強力な構成管理を実装する。
- 脆弱性を管理するための強力なパッチ戦略を開発
- 自動適用 or 適用前にテストが必要の切り分け。(脆弱性、システムによる)
- 強力な認証を実装して、重要な資産へのアクセスを保護
- Active Directoryを保護して、アクセス制御を保護
- データセキュリティメカニズムを実施(例:重要なビジネスデータの暗号化)
Protect Access to Mission Critical Assets
- 組織のミッションクリティカルな資産:誰がアクセスでき、どのような脅威をもたらすかを特定することが重要。
- 最小特権アクセスの原則を実装する。階層化されたアクセスメカニズムが必要。多要素認証とか
Protect Your Email Domain Against Phishing
- 電子メール:最も価値があり広く使用されているコミュニケーション手段の1つ
- フィッシングメール対策:トレーニング演習。認識は高まるが不十分。
他に、最新情報の取得、メールフィルターの実装、マルウェア対策ソフトウェアの導入。
1原則1ユニットになっており、クイズの前にまとめが記載されている。(ぶっちゃけ、これだけ読めばよかったのでは?感が否めない。 クイズが「XXXを最もよく説明しているのはどれか?」「XXXの原則の事例を選択する」形式の2問。 また、一人称が「リーダー」であることから、組織の責任者がまず行動せよとことかと。しょっぱなの原則に「リーダー」が出てくるしね。