キッカケは「使い方がわからない」という声
JNSA CISO支援ワーキンググループは、2021年1月に『CISOハンドブック』を刊行。わずか2年程で、続編と言える『CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ』を世に送り出す形となった。開口一番、その理由を尋ねてみると、「どう使えば良いかわからない」「教科書としてはすごく良いが、実際に使おうとすると悩んでしまう」といった声が仲間内から挙がったことがキッカケだという。
「何が足りないのかを考えたとき、『CISOハンドブック』では網羅性を重要視したため、実際にどう展開するのかを詳細に書けなかったことに思い当たりました。そこで、次は網羅性から“具体的なシナリオ”に内容を持っていくことにしました」(高橋氏)
特に計画の策定から施策の検証、コミュニケーション基盤の構築にフォーカスすることで「『わかる』から『できる』」ようになることを目指したという。たとえば、事業推進と情報セキュリティの対立関係を見てみると、事業リスクの文脈と情報セキュリティリスクの文脈に齟齬があることがわかった。
これはKPIでも同様であり、P/L(損益計算書)に当てはめてみると事業側は「成功要因としてのセキュリティ」を考え、情報セキュリティ側は「特別損失を防ぐためのセキュリティ」を考えている。企業が目指すべきは、成功要因としてのセキュリティであるべきだ。
こうした課題を解決するために高橋氏は、まず構造化することで分析を行ったと語る。最上に「経営理念」を配置し、「施策」「タスク」と階層化。4つの視点として『事業・経営』『評価とモニタリング』『要求事項と規範』『リスク・脅威』を組み合わせ、各階層をかみ砕いて理解できるようプロスポーツに当てはめた説明も盛り込んだ。
重要な視点「セキュリティ施策をデバッグする」とは
そうした新たな視点を組み込んでいく中で、本書で特に力をいれたのが『セキュリティ施策のデバッグ』だとして、「たとえば、規準に適合しているのかという『監査』視点でのアプローチは一般的ですが、それが実際に動くのかを確かめる『デバッグ』や『システムテスト』視点からのアプローチは確立されていません。そこで、“CISOの視点”から考えること、つまり事件や事故などのインシデントを想定し、評価をしてみようと考えました」と高橋氏は述べる。
たとえば、数あるセキュリティインシデントの中から1つをシナリオとして、イベント対応やステータスレポート、インシデント報告書の机上演習を行った上で、模擬的な記者会見を実施。その後、各施策への評価やフィードバックを行うというものだ。
つまり、事件や事故から逆算(デバッグ)していくことで、各責任者が明確になったり、社長や事業部の対応を疑似体験できたりするだけでなく、必要な書類や緊急連絡先なども把握することでインシデント対応に必要な対策が見えてくる。このとき、「財務への影響」「業務への影響」「顧客への影響」という3つの軸で考えることが勘所だと高橋氏。実際にはこれらを考慮した上で、会見やメディア対応の調整などが必要になるからだという。
こうした『CISOハンドブック』では詳細に書かれていなかった、インシデント対応におけるセキュリティ施策を実践に移すためのコンテンツを中心に据えてある。また、本書の付録として、実践に欠かせない想定シナリオやプロファイル、ネットワーク図、構成図、インシデント対応のタイムラインなど豊富な参考資料も掲載されているとのことだ。
CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ
高橋正和 著,JNSA CISO支援ワーキンググループ 協力
出版社:技術評論社
発売日:2023年1月21日
価格:2,750円(税込)
本書について
本書は、さまざまなセキュリティ危機に対して最適な対策を示します。最悪の状況を避け、企業として最高のセキュリティを実現するためには「逆算」し先回りしていくことが肝要です。そうした知恵と対応する技術を本書はコンパクトにまとめました。