本書は、日本のサイバーセキュリティ業界で高名な横浜信一氏の近著(2023年発表)。著者はNTTHDのCISOであり、グループ30万人のサイバーセキュリティを司る一方、業界団体や国際会議の場の常連。僕自身何度もお世話になっていて、本書を出版早々送っていただいた。
前半はNTTGでサイバーセキュリティをどう実践しているか、12章に分けて詳述してある。例えば、第3章脅威インテリジェンスではその活用法として、
・脆弱性対応
・ツールの高度化
・一般社員への啓発
があるという。
また第5章レッドチームでは、社内で模擬攻撃をするチームの活動で、問題点をあぶりだすだけではなく、すでに意味の薄くなった防御策なども見つけられる。第6章バグ・バウンティ・プログラムでは、セキュリティホールを見つけることへの報奨金制度が紹介されていた。
第10章対外協力では、外国企業との連携はもちろん、米英の政府機関とも情報交換を重ねたり、標準化に尽力するプロセスが描かれている。このような関係はずいぶん昔からのもので、それゆえグループ全体のバックボーンにNISTのCSFを採用し普及させることができているわけだ。
人材育成では、初級人材を1万人以上、中級人材を500名ほど、上級人材は現時点で90名ほどが認定されている。本書の後半はその上級人材のうち10名が登場して、幅広い活動内容の紹介となっている。前半の考え方の実践例として読むのがいいだろう。
昨年春から「日本のサイバーセキュリティ能力が低い」と内外で言われるようになり、元は2020年に自衛隊が中国にハッキングされた件と分かった。昨年後半からは産業界として「軍事的なインテリ能力はともかく、日本の産業界はそんなに弱くない」と「卑下せず、誇張せず」のスタンスで情報発信をしてきた。
本書は、そんな思いのこもった一冊。NTTGの能力は日本企業の中でも群を抜いていますから、一読いただければどんな企業にもお役に立てる書だと思います。
