Cyber Posture(サイバー・ポスチュア)って言葉を今日初めて聞きました。
海外では数年前からある考え方で、NISTのドキュメントにも登場してくる言葉らしい。
最近日本では、セキュリティ業界のトップガンである名和先生がよく使っているようで、自分の耳にも入ってきた。
Postureって「姿勢」の意で、Cyber Postureを日本語で表現すると、
サイバーセキュリティ態勢
みたいな感じだろうか。
ヨガでは姿勢が重要とされており、サッカー選手は体幹が重要とされており、同じような考えで、セキュリティも態勢が必要と。
ま、要は部分的にバラバラに対応していてもだめで、それらがしっかり組み合わさっていないといけないという感じだと思う。
セキュリティの観点で言い換えると、従来のセキュリティ対策は、物理的セキュリティ、情報セキュリティ、ビジネス継続性管理、データ保護、社内セキュリティ、社外セキュリティ等、それぞれ分けて考えていたが、今後、これら分割した考え方は時代遅れであり、分割により組織全体を危険にさらす可能性さえあるとのこと。
名和先生が某講演でお話しされていたポイントは5つ
1.サイバーリスクをITの問題ではなく、全社に関わるリスク管理の問題として扱う
2.企業はビジネスの文脈でサイバーリスクに対処する
3.企業はサイバーリスクを様々なレベルで探し出して軽減する必要がある
4.脅威は常に変化しており、その動きに適応することが不可欠
5.サイバーリスクは包括的で協調的なガバナンスを求めている
一部良く分からない部分があるので、勉強せねば。。。