最近思うところもありちょうど目についたこちらの本書を購読しました。

2018年7月17日に発行されたばかりの新刊です。本書は3章構成になっており、第一章では実際のインシデントベースで原因や対策を、第二章は政府や団体の標準化などの取り組み、第三章では各個別のケースについて詳細に記しています。
情報システムを構築する人であれば一度は目を通しておいて損はないと思います。

内容

内容は昨今のセキュリティインシデントの取りまとめや各団体の取り組みなどがメインです。
特に過去の公開されているインシデントからは、その攻撃対象から攻撃手法など詳細に記してあります。また昨年はブロックチェーンやIoTなどの新たな技術が誕生し、それによってセキュリティ攻撃も変化しています。非常に網羅的に記してありますので一読の価値あり、です。

意外と政府は頑張っているのかもしれない

読んでいて思いましたが各団体はいろいろ動いているようです。日本政府もセキュリティ対策というところに力を入れており、内閣サイバーセキュリティセンターという事務局を設置しています。
こういった方向性はトップダウンで音頭を取らないと周りがついてこないと思うので、とても良いと思います。

また関連組織に結構有名な独立行政法人に、本書を執筆したIPAという機構があり、実際の決定された発信に関してはこちらから発信されることが多いと思います。

身近なところでいうと、IPAは国内のセキュリティインシデントを報告する窓口を運営しており、各種脆弱性については JVN iPedia というポータルサイトで検索することができます。
またセキュリティは CVSS （今はv3）という規格によって評価されてランク付けされます。こちらを参照することで例えば自分が制作したwebサイトが関連している技術を使っていた場合などには即座に対応することができます。

最先端で正しいかどうかはわかりませんが iPedia に報告される脆弱性の新着を定期的にチェックしてセキュリティリスクを減らすということが結構有効なのではないかと思います。

しかもこの窓口、一般人でも脆弱性を報告できるようになっているのです。脆弱性が妥当であれば名前が掲載されるそうです。かっこいいですね。
いわゆるホワイトハッカーなどの人はこういうところに報告したりするのかな？

また特にセキュリティ対策をするといったってどういう事をしたらいいんだかわからない企業向けに、サイバーセキュリティ経営ガイドライン解説書なるものを策定していたりします。
経営者がコレを確認することによって企業内部のリスク把握や、運営、人材配置などを設計する際に役に立つようなものです。

一つ残念な気がするのですがこういう仕組みがあることをアンテナを自分から立てて調べない限り目にしないことですかね。
自分は法人を登記したこともあるのですが、一切そういう案内を見たことがないような気がします。（していたらごめんなさい）

様々な分野で発信はしているけれども、縦割りで各省庁とあまり連携が取れていないと言ったような印象です。

開発したシステムは当然保守されるべき

自分自身は受託開発などで多くのシステム開発をしてきました。
その中で、よく感じることですがシステムに明るくないユーザ企業は開発する費用がいくら掛かるのかということに関してはものすごく感心があるんだけれども、開発したあとのことってあまり関心がないんですよね。
システム開発を行っていなければ当然作ったあとにコストがかかるということはイメージしにくいものだと思います。それは開発ベンダーが責任を持ってコストやリスクに関して説明していければ理想ではあると思います。

なかなか受注する立場としてはそのコストがかさむような提案ってしにくいんですよね。結局コストだけに目がいって競合に負けてしまったりする可能性もあったり。
それでもそこはしっかりやっていきたいなと思った次第です。

まとめ

読んで良かったの一言です。
ちなみに書籍についてはアンケートに答えることでpdf版がwebから無料で入手することもできます。私はこういったボリュームのある書籍は紙じゃないと読めないので書籍版にしましたがお好みに応じて参考にしてみてください。