kuzira_diver

書籍名：『ストーリーとしての競争戦略』 （ 著者：楠木 建 ） 日時：2020年12月20日～ 各章の紹介 第１章　戦略は「ストーリー」 ストーリーの戦略論とは何であり、何ではないかをお話しし、ストーリーとしての競争戦略という視点を明らかにします。 第２章　競争戦略の基本論理 本題に入る準備として、競争戦略というものの考え方が立脚している基本論理について、その本質部分をおさらいします。 第３章　静止画から動画へ 「筋の良い」ストーリーとは何か、優れた戦略ストーリーの条件についてお話しします。 第４章　始まりはコンセプト ストーリーとしての競争戦略のカギとなる二つの論点、具体的には戦略ストーリーの基点となる「コンセプト」と、ストーリーのキラーパスともいえる「クリティカル・コア」について話を深めたいと思います。 第５章　「キラーパス」を組み込む ストーリーという戦略思考の最大の強みである持続的な競争優位の論理を明らかにします。 第６章　戦略ストーリーを読解する ガリバーインターナショナルを例にとって、優れた戦略ストーリーの読解をしたいと思います。同社が構想し、現実に動かし、成功をもたらしたストーリーをじっくり読み取り、優れたストーリーの条件についての理解を深めることがこの章の目的です。 第７章　戦略ストーリーの「骨法10ヵ条」…それまでの議論のまとめとして、優れた戦略ストーリーを描くための「骨法」のようなものをお話ししたいと思います。 第１章　戦略は「ストーリー」

情報セキュリティに関連する法令と契約 情報セキュリティに関連する法令と契約について、情報セキュリティ業務を実施するうえでの重要なポイントを学習する。

情報処理安全情報確保支援士の倫理 情報処理安全確保支援士の倫理と倫理的判断や行動の指針となる規範について学習する。

  平常時の対応 平常時に行うべき対応の全体像の把握、インシデント対応のための準備としての脆弱性情報の対応や状況把握、ユーザへの働きかけとしての普及啓発や注意喚起、訓練などを学習する。 第1章　平常時の対応に関する全体像 インシデントマネジメント活動 脆弱性対応 事象分析 普及啓発 注意喚起 その他インシデント関連業務 インシデントハンドリング（非常時） 『 一般社団法人 JPCERT コーディネーションセンター CSIRT ガイド 』 第2章　脆弱性対応 脆弱性対応における活動全般 『 IPA 脆弱性対策の効果的な進め方（ツール活用編） 』 資産と構成の把握 資産管理：IT資産の管理やライセンス管理などの実施⇒絶対数の把握 構成管理：ITサービスを構成する要素の管理を実施⇒構成数の把握 その他の管理情報：ネットワーク情報（ネットワーク図、ルーティング、ファイアウォール設定など）⇒リスクの把握 情報セキュリティの基本ポリシーに従い、物理的、環境的、技術的、人的な対策を実施する（ISO/IEC 27001） 契約時に合意すべき事項 『 IPA セキュリティ担当者のための脆弱性対応ガイド 』 脆弱性対応における情報収集先 JVN(Japan Vulnerability Notes） JPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営 日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供 JVN脆弱性レポート 「情報セキュリティ早期警戒パートナーシップ」に基づき報告された脆弱性情報 海外の調整基幹と連携 第3章　事象分析 自組織が守るものを明確にする 誰が→オーナーの明確化 何を→資産とその価値の把握 どこに→オンプレミス、クラウドなど 何を守るべきか コストは有限である。どこを重点的に守るのかを明確にする。 何を守るかを検討する為に脅威も把握しておく必要がある。 状況の把握 資産情報の収集 サーバ／ネットワーク機器 OS、ミドルウェア・ファームウェアのバージョン 外部クラウド等 ネットワーク情報の収集 構成と装置 セキュリティ装置 システム ID 証跡ログ、設定情報監視（改ざん検知） ネットワーク ファイアウォール、IDS/IPS、WAF、プロキシ等の監視 エンドポイント アンチウイルスソ...

  インシデント対応 インシデント発生検知から対応の流れまでを学習する。 第1章　インシデントハンドリングの前に PSIRT（Product Security Incident Response Team）　自社製品やサービスのセキュリティレベル向上やインシデント対応を行う組織 「情報セキュリティ10大脅威 2020」 を公開。対応しなくてはならない脅威は組織によって異なる。 脅威とは「本来行われるべきではない行為によって、組織に負の影響をもたらすこと」 脅威は外部からだけでなく、内部からも発生する。 インシデントマネジメントとは、インシデントに対してCSIRTが行う一連の業務の総称。 セキュリティインシデントとは 組織のセキュリティポリシーやコンピュータ利用規定に反するもの イベントによって検知されることがある 組織によって「セキュリティインシデントとは何か」は異なる CSIRT ガイド 第2章　インシデントハンドリングの実務 インシデントハンドリングの流れ（準備＞検知分析＞封じ込め（根絶 復旧）＞事後の対応） NIST コンピュータセキュリティインシデント処理ガイド 準備フェーズで行うこと インシデント処理に必要なツール、リソースの準備 起こった事象を分析する為のツール 起こった事象を根絶、復旧させる為のツール インシデント処理の関係者へのエスカレするための設備 発生した事象を分析する為の各種情報 リスクアセスメントやリスクベースのセキュリティ対策などの予防 対応計画や体制 ホストセキュリティ ネットワークセキュリティ マルウェア対策 ユーザの意識向上とトレーニング 構成情報管理 情報収集体制の整備、外部連携の土台作り 検知・分析フェーズで行うこと インシデントの前兆・兆候を検知 インシデントの分析 インシデントの文書化 インシデントハンドリングの優先順位付け 関係者への通知 [手掛かり]→[IOCの作成]→[IOCの配備]→[被疑箇所特定]→[書庫集め]→[データ分析]→[IOCの作成へ戻る] IOC（Indicator of Compromise）侵害指標や痕跡情報（セキュリティ侵害インジケーターと呼ばれることも）。サイバー攻撃の痕跡を記録しデータベース化して技術仕様として活用する。 「アラート」や「ログ」といった客観的なデータが重要であり...

  セキュリティ体制の構築 セキュリティ対策を推進する活動を継続させるには、経営者による理解とリーダーシップが不可欠な為、経営者の視点と実務者または支援者としての視点をこの章で学ぶ。 第1章　セキュリティ体制構築の必要性 『 サイバーセキュリティ経営ガイドライン 』 「経営者が認識すべき３原則」 経理者のリーダーシップが重要 自社以外のビジネスパートナー等にも配慮 平常時からのコミュニケーション・情報共有 担当幹部に指示すべき「サイバーセキュリティ経営の重要1０項目」 指示１「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」 指示２「サイバーセキュリティリスク管理体制の構築」 指示３「サイバーセキュリティ対策のための資源確保」 『 情報セキュリティ管理基準 』組織体における情報セキュリティマネジメントの円滑で効果的な確立を目指して、マネジメントサイクル構築の包括的な適用範囲を有する基準 『 サイバー・フィジカル・セキュリティ対策フレームワーク 』サイバー・フィジカル一体型の社会のセキュリティの新たなモデルを提示 第１層「企業（組織）間のつながり、第２層はフィジカル空間とサイバー空間のつながり、第３層はサイバー空間におけるつながりで整理      第2章　セキュリティ体制構築の具体的な手法 経営者によるサイバーセキュリティリスクの認識とリーダーシップ発揮による対策の推進 経営戦略としてのセキュリティ投資不可欠かつ経営者としての責務 サイバーセキュリティ対策を実施するうえでの責任者となる担当幹部を任命 情報セキュリティポリシーは経営層の意思表明 文章構成は一般的に「情報セキュリティ基本方針（ポリシー）」「情報セキュリティ対策基準（スタンダード）」「情報セキュリティ実施手順（プロシージャ）」の３階層となる 情報セキュリティマネジメントとPDCAサイクル 第3章　様々なセキュリティ組織の形態 セキュリティ体制の拡張と高度化 日本はシステム構築運用をアウトソースすることが多い為、分業体制を前提とし事業継続の観点から法令遵守、リスクマネジメント等に基づくセキュリティ推進活動を行う「セキュリティ統括（室）」に着目している。 セキュリティ統括室とは、期間となるIT領域、製造・運用のOT領域、IoT領域の全てのセキュリティ戦略に対応...

情報処理安全確保支援士に期待される役割と知識 情報処理確保支援士に何が期待されているか把握し、どのような知識が必要なのかを学習する。 第１章　情報処理安全確保支援士の人材像（役割と責任） サイバーセキュリティを確保し、国民が安全で安心して暮らせる社会を実現すること 『情報処理安全確保支援士　倫理綱領』役割と責任を果たすために従うべき規範 公正と誠実 秘密保持 法令等の遵守 信用保持 自己研鑽 第２章　情報セキュリティを取り巻く環境の変遷 これまでは境界の内側は安全で、外部は危険があるので外からの脅威を防ぐ「境界防御」の考え方が一般的であった。しかし情報システムのクラウド化により、守るべき情報資産が外部にあるケースが増え、「境界」は曖昧なものへ。 サプライチェーン上の脆弱なポイントを攻撃者は狙ってくる。 「ゼロトラスト」 第３章　情報処理安全確保支援士に期待されること セキュリティにおいて、実務と経営をつなぐ（意思決定：経営層、助言指示：戦略マネジメント層、対策実施：実務者・技術者層） セキュリティ対応組織（SOC/CSIRT）の教科書 セキュリティ対応サイクルの各フェーズで求められる知識を提供。 第４章　セキュリティ対応 導入フェーズの知識 「導入」では企業経営、産業構造、機能的な視点が必要 サイバーセキュリティ経営ガイドライン 　経営者が認識すべき「３原則」 　経営者がCISO等い指示すべき「重要10項目」 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）の概要 　産業社会を「三層構造」に整理し、セキュリティ対策の概念を整理したもの 重要インフラのサイバーセキュリティを改善するためのフレームワーク 　 セキュリティ対策の基本機能を５つに分類。 体制や役割の参考  ユーザ企業のためのセキュリティ統括室　構築・運用キット　（統括室キット） CSIRTマテリアル セキュリティ対応組織の教科書 v2.1 CSIRTサービスフレームワーク 適切な人材の配置、新たな人材の登用、人材の育成の３つの観点で検討。 産業横断 人材定義リファレンス ：事業活動の観点から要求知識や業務区分、スキルを整理したもの セキュリティ知識分野（SecBoK2019） ：人材育成の観点から、スキルだけでなくタスクやロールを整理しまとめたもの CSIRT 人材の定義と確保 ：人...