『CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド』2021/1/20
高橋 正和 (著), 荒木 粧子 (著), 池上 美千代 (著),
CISO(Chief Information Security Officer:最高情報セキュリティ責任者)がするべき情報セキュリティの問題解決方法を、最新の情報をもとに総合的に解説してくれる本です。この本の冒頭には、次のように書いてありました。
「本書は、情報セキュリティに関わる方が、CISOとして経営陣に迎えられたときに、経営陣の言葉を理解すること、業務執行の手掛かりとなることを目指しています。」
だからこの本には、情報セキュリティマネジメントの知識だけでなく、「第3章 基本となる経営指標」で、CISOが最低限理解しておきたい財務諸表などの数字の基本も解説してもらえます。さらに、この章には「コラム 事業計画との遭遇」として、著者の方が実際にセキュリティベンダーの技術責任者をしていたときや、事業責任者としてコンサルティングビジネスを立ち上げた時の苦労話がいくつか書いてあって、すごく参考になりました。
さて、CISOの役割は、次のようなものだそうです。
「CISOは、経営計画に基づいた情報セキュリティ戦略を構築し、日々変化する脅威や技術動向に対応した施策が課題となる。」
「情報セキュリティの責任者は、自社ビジネスと、企業文化や意思決定のあり方を理解し、脅威による直接的な損害だけでなく、事業をセキュリティ上の判断で止めた場合の事業リスクも考慮し、事業部門や関連部門、そして経営陣といったステークホルダーとの連携することが不可欠です。」
CISOには、「事業貢献」、「コーポレートガバナンス」、「リスク管理」、「セキュリティ対策」を担うことが求められています。
そして企業のセキュリティ推進には、経済産業省の『サイバーセキュリティ経営ガイドライン』が広く活用されているそうです。その「経営者が認識すべき3原則」は次の通りです。
1)経営者は、サーバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2)自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
3)平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策にかかる情報開示など、関係者との適切なコミュニケーションが必要
*
また「サイバーセキュリティ経営の重要10項目」は次の通り。
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに対応するための仕組みの構築
指示6:サイバーセキュリティ対策におけるPDCAサイクルの実施
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた復旧体制の整備
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供
*
これらの項目は、CISOが情報セキュリティ戦略を策定する際に、参考になりそうに感じました。
この他にも「モニタリングと評価方法」、「情報セキュリティ監査」、「クラウドファーストの情報セキュリティ」、「情報セキュリティインシデント対応と報告」など、CISOが業務を執行するときに参考になる情報が総合的に解説(概説)されていました。
また「Annex」として以下の情報があり、これらもとても参考になると思います。
Annex A 事業計画策定例
Annex B CISOダッシュボード
Annex C 情報セキュリティ対策の標準化と自動化の流れ
Annex D EDC 手法を使ったセキュリティ対策効果の試算
Annex E Need to Know 再考
Annex F 新型コロナウイルス後のセキュリティ
Annex G セキュリティインシデントの推移
Annex H 情報格付け
*
『CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド』です。情報セキュリティ担当者、セキュリティエンジニア、CTO、CIO、CISO、情報システム部担当者の方は、ぜひ読んでみてください。
* * *
なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
<Amazon商品リンク>