SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Column

CISOは危機から逆算して考える──書籍『CISOのための情報セキュリティ戦略』はなぜ生まれたのか

著者の高橋正和氏、JNSA CISO支援ワーキンググループに尋ねる

 2023年1月、『CISOのための情報セキュリティ戦略』(技術評論社、2023年1月刊行)という書籍が刊行された。著者である日本ネットワークセキュリティ協会(JNSA)CISO支援WGリーダーの高橋正和氏は、2021年に刊行された『CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド』(技術評論社)の執筆メンバーでもある。いずれもJNSAのCISO支援ワーキンググループにより推進されたものだが、なぜ続編にあたる同書籍を刊行したのか。その理由や狙いなどを、高橋氏およびCISO支援ワーキンググループのメンバーである、コインチェック 田中朗氏、Japan Digital Design 唐沢勇輔氏、東芝 池上美千代氏に訊いた。

キッカケは「使い方がわからない」という声

 JNSA CISO支援ワーキンググループは、2021年1月に『CISOハンドブック』を刊行。わずか2年程で、続編と言える『CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ』を世に送り出す形となった。開口一番、その理由を尋ねてみると、「どう使えば良いかわからない」「教科書としてはすごく良いが、実際に使おうとすると悩んでしまう」といった声が仲間内から挙がったことがキッカケだという。

 「何が足りないのかを考えたとき、『CISOハンドブック』では網羅性を重要視したため、実際にどう展開するのかを詳細に書けなかったことに思い当たりました。そこで、次は網羅性から“具体的なシナリオ”に内容を持っていくことにしました」(高橋氏)

 特に計画の策定から施策の検証、コミュニケーション基盤の構築にフォーカスすることで「『わかる』から『できる』」ようになることを目指したという。たとえば、事業推進と情報セキュリティの対立関係を見てみると、事業リスクの文脈と情報セキュリティリスクの文脈に齟齬があることがわかった。

JNSA CISO支援WGリーダー/Preferred Networks 執行役員 最高セキュリティ責任者 高橋正和氏
JNSA CISO支援WGリーダー/Preferred Networks 高橋正和氏

 これはKPIでも同様であり、P/L(損益計算書)に当てはめてみると事業側は「成功要因としてのセキュリティ」を考え、情報セキュリティ側は「特別損失を防ぐためのセキュリティ」を考えている。企業が目指すべきは、成功要因としてのセキュリティであるべきだ。

 こうした課題を解決するために高橋氏は、まず構造化することで分析を行ったと語る。最上に「経営理念」を配置し、「施策」「タスク」と階層化。4つの視点として『事業・経営』『評価とモニタリング』『要求事項と規範』『リスク・脅威』を組み合わせ、各階層をかみ砕いて理解できるようプロスポーツに当てはめた説明も盛り込んだ。

重要な視点「セキュリティ施策をデバッグする」とは

 そうした新たな視点を組み込んでいく中で、本書で特に力をいれたのが『セキュリティ施策のデバッグ』だとして、「たとえば、規準に適合しているのかという『監査』視点でのアプローチは一般的ですが、それが実際に動くのかを確かめる『デバッグ』や『システムテスト』視点からのアプローチは確立されていません。そこで、“CISOの視点”から考えること、つまり事件や事故などのインシデントを想定し、評価をしてみようと考えました」と高橋氏は述べる。

 たとえば、数あるセキュリティインシデントの中から1つをシナリオとして、イベント対応やステータスレポート、インシデント報告書の机上演習を行った上で、模擬的な記者会見を実施。その後、各施策への評価やフィードバックを行うというものだ。

『CISOのための情報セキュリティ戦略』の紙面イメージ(技術評論社ホームページ『CISOのための情報セキュリティ戦略』より引用)
『CISOのための情報セキュリティ戦略』の紙面イメージ
(技術評論社ホームページ『CISOのための情報セキュリティ戦略』より引用)

 つまり、事件や事故から逆算(デバッグ)していくことで、各責任者が明確になったり、社長や事業部の対応を疑似体験できたりするだけでなく、必要な書類や緊急連絡先なども把握することでインシデント対応に必要な対策が見えてくる。このとき、「財務への影響」「業務への影響」「顧客への影響」という3つの軸で考えることが勘所だと高橋氏。実際にはこれらを考慮した上で、会見やメディア対応の調整などが必要になるからだという。

 こうした『CISOハンドブック』では詳細に書かれていなかった、インシデント対応におけるセキュリティ施策を実践に移すためのコンテンツを中心に据えてある。また、本書の付録として、実践に欠かせない想定シナリオやプロファイル、ネットワーク図、構成図、インシデント対応のタイムラインなど豊富な参考資料も掲載されているとのことだ。

CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ

Amazon

CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ

高橋正和 著,JNSA CISO支援ワーキンググループ 協力
出版社:技術評論社
発売日:2023年1月21日
価格:2,750円(税込)

本書について

 本書は、さまざまなセキュリティ危機に対して最適な対策を示します。最悪の状況を避け、企業として最高のセキュリティを実現するためには「逆算」し先回りしていくことが肝要です。そうした知恵と対応する技術を本書はコンパクトにまとめました。

次のページ
CISO支援WGメンバーとの共創

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Column連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17313 2023/02/07 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング