日本網(wǎng)絡(luò)安全為什么發(fā)展這么慢？此文有你想知道的一切

美國(guó)國(guó)家安全法律博客 Lawfareblog 近日發(fā)表《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》（Business Management and Cybersecurity - Digital Resiliency for Executives）書(shū)評(píng)。這本書(shū)的作者為日本網(wǎng)絡(luò)安全專家 Shinichi Yokohama。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》共六個(gè)章節(jié)：

第一章解釋了網(wǎng)絡(luò)安全的構(gòu)成要素以及網(wǎng)絡(luò)安全事件可能會(huì)給企業(yè)運(yùn)營(yíng)帶來(lái)的影響；

第二章網(wǎng)絡(luò)安全是企業(yè)管理挑戰(zhàn)的原因分析；

第三章將日本、美國(guó)和歐洲國(guó)家的網(wǎng)絡(luò)安全態(tài)勢(shì)和政策進(jìn)行比較，并向日本企業(yè)的高管提供解決網(wǎng)絡(luò)安全問(wèn)題的建議；

第四章鼓勵(lì)日本企業(yè)尋求行業(yè)合作，例如信息共享和分析中心（ISACs）；

第五章描述了美國(guó)、東南亞和歐洲政府的政府在網(wǎng)絡(luò)安全政策和公共宣傳方面的合作方式；

第六章討論了私營(yíng)行業(yè)如何在教育、培訓(xùn)和網(wǎng)絡(luò)威脅情報(bào)共享方面為公私合作做出貢獻(xiàn)。

日本與美國(guó)等在網(wǎng)絡(luò)安全方面的差異

在日本，大型企業(yè)在解決國(guó)家技術(shù)政策方面的傳統(tǒng)做法（比如網(wǎng)絡(luò)安全要求）將不可避免地影響到廣泛的行業(yè)，因此過(guò)去采取的做法是等待政府監(jiān)管機(jī)構(gòu)下達(dá)指示。

相較而言，美國(guó)的做法與之存在巨大差異，美國(guó)大型企業(yè)本著參與制定政策與監(jiān)管對(duì)策的目的，長(zhǎng)期以來(lái)一直通過(guò)公司的政策團(tuán)隊(duì)或行業(yè)協(xié)會(huì)，主動(dòng)公開(kāi)地與政府機(jī)構(gòu)進(jìn)行接觸。美國(guó)的行業(yè)和特定企業(yè)給美國(guó)的公共政策對(duì)話帶來(lái)了自己的議程和目標(biāo)、重要的技術(shù)、操作知識(shí)和政策抉擇。

如今，鮮有日本公司在企業(yè)內(nèi)部設(shè)立公共宣傳團(tuán)隊(duì)。雖然企業(yè)部門(mén)以非正式方式進(jìn)行溝通討論，但制定影響日本政府、日本大眾和社會(huì)、日本公司的全球消費(fèi)者、客戶和業(yè)務(wù)合作伙伴的權(quán)力仍主要掌握在政府監(jiān)管機(jī)構(gòu)的手中，然而，這些監(jiān)管機(jī)構(gòu)往往缺乏私營(yíng)部門(mén)具備的技術(shù)和操作知識(shí)。

Shinichi Yokohama 在《企業(yè)管理與網(wǎng)絡(luò)安全—高管的數(shù)字彈性》一書(shū)中指出，日本行業(yè)的被動(dòng)態(tài)度給日本社會(huì)和經(jīng)濟(jì)帶來(lái)的負(fù)面影響在網(wǎng)絡(luò)安全領(lǐng)域顯露無(wú)疑。網(wǎng)絡(luò)安全具有互聯(lián)性，同時(shí)也伴隨諸多漏洞。此書(shū)揭示了日本行業(yè)的被動(dòng)性，并鼓勵(lì)企業(yè)高層與政府共享技術(shù)和操作見(jiàn)解，以積極正面的態(tài)度為網(wǎng)絡(luò)安全政策制定做出貢獻(xiàn)。

日本90%的信息通信技術(shù)資產(chǎn)歸行業(yè)所有

由于日本90%的信息通信技術(shù)（ICT）資產(chǎn)歸行業(yè)所有（其余主要是個(gè)人或家用設(shè)備），Yokohama 認(rèn)為行業(yè)應(yīng)當(dāng)積極主動(dòng)確保網(wǎng)絡(luò)空間安全。

Yokohama 指出，日本的私營(yíng)部門(mén)和政府機(jī)構(gòu)應(yīng)當(dāng)與其他國(guó)家合作，制定全球性的總體政策和標(biāo)準(zhǔn)，以解決跨國(guó)界的網(wǎng)絡(luò)安全問(wèn)題。他認(rèn)為，本書(shū)有助于幫助企業(yè)領(lǐng)導(dǎo)了解需要為網(wǎng)絡(luò)安全、行業(yè)合作和公私合作所做的工作。

這本書(shū)提到日本以外的網(wǎng)絡(luò)安全發(fā)展（例如美國(guó)ISACs和美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院框架），以此對(duì)比日本和其他國(guó)家之間的差異，并敦促讀者思考對(duì)日本可行的網(wǎng)絡(luò)安全方法及其實(shí)施方式。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》一書(shū)在第四章中比較了美國(guó)和日本的 ISACs。日本目前擁有五個(gè) ISACs（金融、ICT、汽車(chē)、電子和貿(mào)易），但他們的信息目前尚未完全翻譯成英文。為了支持2020東京奧運(yùn)會(huì)和殘奧會(huì)，日本正在擴(kuò)大并深化國(guó)際網(wǎng)絡(luò)安全合作。

日本大多數(shù)網(wǎng)絡(luò)安全書(shū)籍重點(diǎn)關(guān)注網(wǎng)絡(luò)攻擊和防御的技術(shù)層面。此書(shū)分析了日本和其他國(guó)家在網(wǎng)絡(luò)安全問(wèn)題方面的異同，全面解釋并比較了日本和其他國(guó)家在網(wǎng)絡(luò)安全政策、開(kāi)展公私合作、行業(yè)協(xié)作和網(wǎng)絡(luò)威脅情報(bào)分享方面開(kāi)展工作的具體案例。

值得注意的是，日本大多數(shù)網(wǎng)絡(luò)安全政策相關(guān)文檔用日語(yǔ)編寫(xiě)，并未翻譯成英文（日本的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略是個(gè)例外），語(yǔ)言障礙使得其他國(guó)家的網(wǎng)絡(luò)安全政策分析師和專業(yè)人士難以理解日本的利益、擔(dān)憂、挑戰(zhàn)和政策方法。

日本沿用美國(guó)NIST框架

由于日本政府機(jī)構(gòu)和企業(yè)均將美國(guó)的 NIST 框架視為網(wǎng)絡(luò)安全指南和實(shí)踐，日本正在努力趕上其他技術(shù)發(fā)達(dá)國(guó)家的步伐，并在網(wǎng)絡(luò)安全態(tài)勢(shì)方面與其他領(lǐng)先國(guó)家保持一致。《企業(yè)管理與網(wǎng)絡(luò)安全》旨在允許全球的網(wǎng)絡(luò)安全政策制定者和分析人士了解日本在參與國(guó)家網(wǎng)絡(luò)安全政策制定和態(tài)勢(shì)方面希望傳達(dá)的信息。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》內(nèi)容

日本關(guān)注“企業(yè)技能”

雖然美國(guó)和歐洲的企業(yè)更多地關(guān)注員工的技能，通過(guò)技能互補(bǔ)的方式打造成功的企業(yè)團(tuán)隊(duì)，但日本企業(yè)更看重通才，因此更關(guān)注整個(gè)企業(yè)的技能。日本企業(yè)每隔幾年就會(huì)大規(guī)模換血，盡管這樣具有一定的優(yōu)勢(shì)，但也存在負(fù)面影響，比如不利于網(wǎng)絡(luò)安全的職業(yè)發(fā)展。此書(shū)在第四章中提到跨行業(yè)網(wǎng)絡(luò)安全人力資源發(fā)展論壇（Cross-Sector Forum on Cybersecurity Human Resources Development）案例的研究?jī)r(jià)值。此書(shū)提到的跨行業(yè)論壇包括日本藍(lán)籌公司的合作，其旨在建立積極的社會(huì)“生態(tài)系統(tǒng)”，從而與政府機(jī)構(gòu)和學(xué)術(shù)界合作教育、招募、培訓(xùn)并保留網(wǎng)絡(luò)安全專業(yè)人才。

《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》一書(shū)有詳細(xì)的比較案例，作者在其中描述了日本和其他國(guó)家的企業(yè)對(duì)首席信息安全官（CISO）的期望不同。

只有63%的日本企業(yè)設(shè)立了這一職位，而美國(guó)和歐洲的比例分別高達(dá)95%和85%。

CISO在35%的日本企業(yè)中充當(dāng)“雙帽”角色，而美國(guó)和歐洲的占比僅為17%和18%。

由于日本配備的長(zhǎng)期網(wǎng)絡(luò)安全專業(yè)人士不及美國(guó)多，再加上日本的企業(yè)文化通常不允許從外部招聘高管，作者懷疑美國(guó)或歐洲招聘和指定 CISO 的做法在日本的可行性。這本書(shū)指出，考慮到日本的企業(yè)文化和日本企業(yè)的管理模式，建設(shè)網(wǎng)絡(luò)安全團(tuán)隊(duì)將會(huì)更加有效。

許多日本政府機(jī)構(gòu)和企業(yè)逐漸認(rèn)識(shí)到將網(wǎng)絡(luò)安全納入國(guó)家政策的重要性（2020年奧運(yùn)會(huì)是助推力）。日本在全球經(jīng)濟(jì)中所扮演的角色意味著，日本以外的政府、企業(yè)、政策和學(xué)術(shù)專家需要了解本國(guó)經(jīng)濟(jì)和網(wǎng)絡(luò)安全的當(dāng)前政策立場(chǎng)和政策進(jìn)程?！镀髽I(yè)管理與網(wǎng)絡(luò)安全》分析了日本在網(wǎng)絡(luò)安全方面有了不斷變化的認(rèn)識(shí)，以及日本在全球網(wǎng)絡(luò)安全中的角色。

關(guān)于作者Shinichi Yokoham

此書(shū)的作者 Shinichi Yokohama 是日本知名的網(wǎng)絡(luò)安全專家，他曾是日本跨國(guó)公司 NTT 網(wǎng)絡(luò)安全整合辦公室的負(fù)責(zé)人，且于2018年6月底成為該辦公室的 CISO。他曾供職于日本貿(mào)易部、全球咨詢公司麥肯錫公司，這些經(jīng)歷能夠使其充當(dāng)政府和行業(yè)之間的橋梁，同時(shí)亦可充當(dāng)日本和其他國(guó)家之間的橋梁。

類似于 Yokohama 的科技行業(yè)的從業(yè)者每隔幾年換一家新公司這種現(xiàn)象在美國(guó)很常見(jiàn)，不僅科技人員會(huì)獲得升職機(jī)會(huì)和更好的薪資待遇升，企業(yè)也會(huì)吸納前政府官員。然而，在日本像 Yokohama 這種職業(yè)道路卻并不典型，日本的職業(yè)比美國(guó)相對(duì)穩(wěn)定，這使得日本企業(yè)和政府機(jī)構(gòu)更難以吸收新鮮血液和新想法。

2017年席卷全球的 WannaCry 勒索攻擊證明，網(wǎng)絡(luò)攻擊波及的范圍不僅限于某個(gè)組織機(jī)構(gòu)、某個(gè)行業(yè)或某個(gè)國(guó)家。網(wǎng)絡(luò)安全涵蓋了從技術(shù)到企業(yè)管理、法律和國(guó)家安全的方方面面。網(wǎng)絡(luò)互聯(lián)的事實(shí)意味著所有技術(shù)上重要的參與者都需要彼此。因此，當(dāng)前重要的是認(rèn)識(shí)自身在企業(yè)實(shí)踐和文化方面的差距和共性，從而促進(jìn)政策和監(jiān)管對(duì)話。

Shinichi Yokohama 在其《企業(yè)管理與網(wǎng)絡(luò)安全-高管的數(shù)字彈性》一書(shū)中，表明了希望與全球讀者接觸的熱情。