航空におけるリスク管理 私はITとセキュリティのプロフェッショナルです。
ネットワーク・エンジニアとしてキャリアをスタートし、すぐにセキュリティ・エンジニアになりました。
ファイアウォールの資格を取得したのを皮切りに、侵入検知・防御の資格を取得しました。
フォレンジック調査、eDiscovery、プロジェクト・コンサルティングなど、セキュリティの分野はどんどん広がっていきました。
プロジェクト・コンサルティングでは、プロジェクトのリスク・レベルが組織の許容範囲内であることを確認することに重点を置きました。
私は過去3つの職務でサイバーセキュリティ組織のトップを務めてきましたが、物心ついたときからパイロットになりたいと思っていました。
2018年に認定パイロットになり、2019年には上級および計器地上学校の教官になりました。
最近、技術レベルも年齢もパイロットとしての目標も異なる約15人の生徒に正式な地上学校のクラスを教え終えました。
最近の生徒の一人は私とほぼ同い年で、ずっと空を飛ぶことを夢見ていて、ただ楽しむために飛びたいと考えているのですが、別の生徒は航空会社で飛びたいと考えている16歳で、さらに別の若い生徒はアメリカ空軍のパイロットになりたいと考えています。
これらの学習者にはそれぞれ異なる原動力や投資レベルがありますが、彼らが理解し、受け入れる必要のある職業に関する重要な基本事項がいくつかあります。
この記事を書きながら、私は航空訓練教材や技術書、セキュリティ関連の本でいっぱいの本棚に目をやりました。
連邦航空規則(FAR)と航空従事者情報マニュアル(AIM)を引くと、パイロット、航空機、飛行、および関連事項を規定する連邦規則集第14編に含まれる規則と規制が540ページにわたって掲載されていることがわかります。
私が持っている本のバージョンはパイロットのために書かれたものなので、航空業界全体を支配する無数の規則や規制は含まれていません。 「航空はそれ自体、本質的に危険なものではありません。しかし、不注意や能力不足、怠慢に対しては、海よりもはるかに容赦がありません”- A.G.ランプルー機長、英国航空保険グループ、ロンドン。
1930’s 私の地上学校の初日の授業で、飛行の歴史と連邦航空局(FAA)、そして117年前にさかのぼる飛行全般の歴史を教えたことを思い返すと、このような規制や規則は存在しませんでした。
やがて航空産業が発展し、パイロットや乗客、一般市民が命を落とすにつれて、残念ながら血で書かれたこれらの法律が、さらなる人命の損失を防ぐために作られました。
そして、HIPAA、SOX法、最近ではGDPR、CCPA、その他のプライバシーに関する規制など、サイバーの世界における現在のセキュリティ規制や要件を考えるとき、これらもまた命で書かれているのです。
これらの法律が制定されたのは、誰かが命を落としたからではないかもしれませんが、生活やアイデンティティ、貯蓄を失った人もいます。
FARの規制のほとんどは規定的なものです。
サイバーセキュリティには、必ず守らなければならない厳格なルールやガイドラインがあります。
それ以外のほとんどの分野は、より示唆的で解釈の余地があります。
そこで、リスク管理と裁量が重要になります。
フライトは非常にやりがいのある活動であり、リスクを軽減するために取られる措置もあります。
私は教えるとき、生徒たちに、万が一何かが計画通りに進まなかった場合に、どのようなリスク管理テクニックを使えば良い結果が得られるかを考えてもらうというアプローチを取りたいと思っています。
サイバーでも同じです:プロジェクトを成功させ、何かがうまくいかない可能性を減らすために、どのようなステップを踏むのか、また、うまくいかなかった場合の影響を最小限に抑えるために、うまくいかなかった場合にどのようにリスクに対処するのか。
(リスク管理とインシデント対応)。
私は、航空リスクマネジメントとサイバーセキュリティリスクマネジメントを比較対照する短い連載記事を発表するつもりです。
今後の記事で、同じパイロットである他のサイバーセキュリティの専門家の方々と、共通点や相違点について協力できればと思います。
次回は、チェックリスト、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か、チェックリストとは何か。
次に、航空とサイバーのトレーニングとメンタリティの違いに焦点を当てます。
その後、手順を訓練すること、エンジン停止手順など問題が発生した場合の対処方法を練習すること、バックアップ、パッチ適用、インシデント対応などサイバーセキュリティのプロセスや手順を定期的にテストする方法について説明します。