『CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド』2021/1/20
高橋 正和 (著), 荒木 粧子 (著), 池上 美千代 (著)

 技術職の視点をもった経営陣の一人として、CISOがすべき情報セキュリティの問題解決方法を、総合的に紹介してくれる本です。
 CISO(Chief Information Security Officer:最高情報セキュリティ責任者)には、次のような役割があるそうです。
・経営計画に基づいた情報セキュリティ戦略を構築し、日々変化する脅威や技術動向に対応した施策が課題
・自社ビジネスと、企業文化や意思決定のあり方を理解し、脅威による直接的な損害だけでなく、事業をセキュリティ上の判断で止めた場合の事業リスクも考慮し、事業部門や関連部門、そして経営陣といったステークホルダーと連携することが不可欠
   *
 この本は、CISOに必要なIT知識や経営知識の概要、情報セキュリティの経緯や概要などを幅広く紹介してくれます。広く浅くという印象で、この本だけで実務が行えるような感じはしませんでしたが、少なくとも入門書として使える感じがしました。多くの参考サイトなどの情報があったので、それをさらに学ぶことで、知識を深めていけそうな気がしますし、分からない部分を見つけて、他の専門書を読むためのきっかけとなると思います。
 これからの企業経営には、情報セキュリティが欠かせないものになるでしょう。
 本書の中で紹介されていた経済産業省の『サイバーセキュリティ経営ガイドライン』から、経営者が認識すべき3原則と、サイバーセキュリティ経営の重要10項目を以下に紹介させていただきます。
・経営者が認識すべき3原則
1)経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
・サイバーセキュリティ経営の重要10項目
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに対応するための仕組みの構築
指示6:サイバーセキュリティ対策におけるPDCAサイクルの実施
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた復旧体制の整備
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供)
   *
 業務執行のための情報セキュリティに関して、とても参考になる本でした(概要知識が多かったので、具体的な実践方法まで分かったわけではありませんが……)。巻末の付録の内容も充実しています。CISOをしている方はもちろん、経営者の方、情報セキュリティに関わる仕事をしている方は、ぜひ読んでみてください。
   *    *    *
 なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>