もう一問ドメイン1から出題します。現代では組織をつくり社会的な活動をするときには最初からセキュリティを考慮する必要があります。それを実際にやり始めるにはどうしたら良いか、考えてみて下さい。
組織にセキュリティ機能を実装する際にトップダウンアプローチにおいて、シニアリーダーシップはどのように始めますか?
a. IT部門のセキュリティニーズの特定
b. 組織が直面する規制とセキュリティ脅威の理解
c. セキュリティポリシーの策定
d. セキュリティ機能の開発
正解:b 組織が直面する規制とセキュリティ脅威の理解
正答が正しい理由
トップダウンアプローチでは、シニアリーダーシップは組織が直面する規制とセキュリティ脅威を理解し、それに基づいて戦略、ポリシー、ガイドラインを策定し、それを組織全体に浸透させます。
他の選択肢が間違っている理由
a. IT部門のセキュリティニーズの特定:これはボトムアップアプローチの特徴です。
c. セキュリティポリシーの策定:シニアリーダーシップはこれを後で行いますが、始めにではありません。
d. セキュリティ機能の開発:トップダウンアプローチではなく、ボトムアップアプローチの要素です。
過去においては自組織のIT部門の作る/サポートするシステムはある程度セキュアでないとまずい、というところから始めてセキュリティの実装ガイドラインやネットワークやPCのセキュリティを実装してきた組織が多いのではないかと思います。そのような自身の過去の経験に照らすとa, dあたりが正解のような気がします。しかしそれらはトップダウンでもないし、シニアリーダーシップ(CEOやCISO)がやることではありません。
現代に新たな組織をつくり社会的な活動を行うのであれば、プライバシーやデータなどの各種規制にどう対応するのか、最初から考えておかなければいけません。また組織自身やその関係者が外部から侵害されないように組織のセキュリティを保護する必要があります。このために最初にセキュリティポリシーを策定したいのですが、、、さらにその前のステップが必要、というのがこの問題です。それは組織が社会の中でおかれている状況の分析です。その中から適合するべき規制や組織や関係者を侵害しようとする脅威がわかります。そうしてそれらの分析結果に基づいてセキュリティポリシーを作ることができます。
ドメイン1の問題の選択肢の中に「セキュリティポリシー」が出てきたらかなりの確率でそれが正解なのですが、この問題はセキュリティポリシーの前提を問うているところに特徴がありました。