私はITとセキュリティのプロフェッショナルです。 私はネットワーク・エンジニアとしてキャリアをスタートし、すぐにセキュリティ・エンジニアになりました。 ファイアウォール認証の追加から始まり、侵入検知と防御を追加しました。 フォレンジック調査、eDiscovery、プロジェクト・コンサルティングなど、セキュリティの領域は拡大を続けています。 プロジェクト・コンサルティングでは、プロジェクトのリスク・レベルが組織にとって許容範囲内であることを確認することに重点を置きました。 私は過去3回の職務でサイバーセキュリティ組織のトップを務めてきましたが、物心ついたときからパイロットになりたいと思っていました。
2018年には認定パイロットに、2019年には上級および計器地上学校の教官になりました。 私は最近、技術レベルも年齢もパイロットとしての目標も異なる約15人の生徒に正式な地上学校のクラスを教え終えました。
最近の生徒の一人は私と同い年で、ずっと空を飛ぶことを夢見ていて、ただ楽しみとしてやってみたいと思っているのですが、別の生徒は16歳で航空会社のパイロットになりたいと考えています。
これらの学習者にはそれぞれ異なる原動力や投資レベルがありますが、彼らが理解し、受け入れる必要のある専門職の重要な基本事項がいくつかあります。
この原稿を書きながら、本棚にある航空訓練教材や技術書、セキュリティ関連の本を眺めています。 連邦航空規則(FAR)と航空従事者情報マニュアル(AIM)を引くと、パイロット、航空機、飛行および関連事項を規定する連邦規則第14編に含まれる規則と規制が540ページにわたって記載されていることがわかります。 私が持っている本はパイロットのために書かれたものなので、航空業界全体を支配する無数の規則や規制は含まれていません。
「航空はそれ自体、本質的に危険なものではありません。しかし、不注意や能力不足、怠慢に対しては、海よりもはるかに容赦がないのです」。- A.G.ランプルー機長、英国航空保険グループ、ロンドン。 1930’s
地上学校の初日の授業で、飛行の歴史と連邦航空局(FAA)、そして117年前にさかのぼる飛行全般の歴史を教えたことを思い返すと、そのような規制や規則は存在しませんでした。 やがて航空産業が発展し、パイロットや乗客、一般市民が命を落とすにつれて、残念ながら血で書かれたこれらの法律が、さらなる人命の損失を防ぐために作られました。
また、HIPAAやSOX法、最近ではGDPRやCCPAなどのプライバシー規制など、サイバーの世界における現行のセキュリティ規制や要件を考えてみると、これらも命に関わるものです。 誰かが命を失ったからこれらの法律ができたわけではないかもしれませんが、生活や身元、貯蓄を失った人もいます。
FARの規定のほとんどは、こうしなければならないという規定です。 サイバーセキュリティには、必ず守らなければならないルールやガイドラインがあります。 他のほとんどの領域は、より示唆的であり、解釈の余地があります。
そこで、リスク管理と裁量が重要になります。 フライトは非常にやりがいのある活動であり、リスクを軽減するための措置が講じられています。 指導の際には、万が一、計画通りにいかなかった場合に、どのようなリスク管理手法を使えば良い結果を得られるかを生徒に考えさせるというアプローチを取りたいと思います。 サイバーでも同じです:プロジェクトを成功させ、何か問題が発生する可能性を減らすために、どのようなステップを踏んでいくのか、また、何か問題が発生した場合に、そのリスクにどのように対処していくのか。 (リスクマネジメントとインシデントレスポンス)。
航空リスクマネジメントとサイバーセキュリティリスクマネジメントを比較対照する短期連載記事を掲載する予定です。 今後の記事で、同じように水先案内人をしている他のサイバーセキュリティの専門家たちと、共通点や相違点について協力したいと思います。 次回は、チェックリストについて、チェックリストとは何か、そうでないものは何か、リスクベースのアプローチにおけるチェックリストの使い方について触れたいと思います。 次に、航空とサイバーのトレーニングとメンタリティーの違いに焦点を当てます。 その後、手順の穴あけ、エンジンアウトの手順など、問題が発生した場合の対処の練習方法、バックアップ、パッチ適用、インシデント対応など、サイバーセキュリティのプロセスや手順を定期的にテストする方法について説明します。
