参考資料等のご紹介です。
リスク心理学入門
リスクという概念は、頻度、被害想定で考えるのが一般的です。
それではその被害想定は、本当に客観的かつ理論的なのでしょうか。
ビジネスにおけるリスクは、金額で換算できる物のみで考えますので、その限定の中では客観的かつ理論的です。
「その限定の中では」と書いたところが重要です。
実際には、リスクには「リスク許容」という概念が基底にあります。
この「リスク許容」は、「リスク・イメージ」という極めて曖昧なものに乗っかっている物で、一般的には仕方が無いと思われる自然災害での頻度と被害想定の積以下であれば「リスク許容」と感じられるものです。
この辺りの条件を解き明かしているのが、この本です。
実は私が大学生の頃に志向した分野なのですが、残念ながら大学院から来なくて宜しいと言われたのでできないでいました。
「そのような心理を扱う分野は、名誉教授になってやるものだ。」と言われて、大学院を諦めたのを覚えています。
手始めに読まれる事をお勧めします。
なぜ危機に気づけなかったのか ― 組織を救うリーダーの問題発見力
色々とリスクマネジメントの現場では、結局リーダーや構成員の資質に左右される事が多いです。
これは残念ながら事実です。
予想どおりに不合理 行動経済学が明かす「あなたがそれを選ぶわけ」
行動経済学からの視点を持てば、実際の人間の判断について理性的でもなんでも無いという事実を突きつけられます。
錯覚の科学
人間は見たいものしか見ません。
聞きたいものしか聞こえません。
セキュリティ心理学入門
内田先生によるWEB講座です。
一読しておくべき内容が盛り沢山です。
Hacking Guidebook: Teach You To Keep Your Computer Safe From Hacker: How To Protect Against Social Engineering Attacks
2018年版翻訳はありますが、やはり最新のものを読みましょう。
個々の脆弱性を潰すのは大事ですが、最大の脆弱性は人間です。
影響力の武器[第三版]: なぜ、人は動かされるのか
「近道を探すものは、金儲け主義者の待ち伏せ攻撃に合う。」
結局、人間は思考省略をしがちです。
そこに付けいられるのです。
ここから下は、ITリスクマネジメントに特化したリストです。
残念ながら全部英語の本です。
それでもこれらの本を読まないで、ITセキュリティ関係の仕事に着くなんて考えたくもありません。
当然私は全部持っていますし、読んでいます。
SECRETS OF A SUPER HACKER
文字だらけの本ですが、所謂ハッカーと言われる人たちの基本的な態度ややり口が記載されています。この本を読まなくて、企業などのSecurity Officerを名乗っている人がいたら、こちらからごめん被りたいです。
SOCIAL ENGINEERING
いかにして人間そのものをハッキングするかという本です。
最大の脆弱性は、人間自体です。
どのような攻撃がなされているのかを知っておくのは重要です。
GHOST IN THE WIRES
これも基本的にどのようにハッキングがなされるのかを解説した本です。
一冊目と同じように、本物のハッカーが書いています。
THE FUGITIVE GAME
三冊目に紹介したハッカーとの電話取材が主になっている本です。
実際にFBIから追われているハッカーが何を考え、どう行動したのかの一端が垣間見えます。
CISSP CBK公式ガイドブック
リスクマネジメントをITセキュリティの観点から見ただけでない、全体像を把握するのによい本。
できれば実務経験が少しある人が読んだ方が良いかもしれないとも思う。
専門書なので値は張るが推奨。日本語のものは、2018年版。
とにかく、この世界は英語の文献を当たり前に読めなければ廃業して欲しいくらいです。
みなさん頑張って、英語の文献に親しんでください。