全ての悩めるCISOにささげる――「CISOハンドブック」はいかにして生まれたか（1/2 ページ）

2018年5月、「CISOハンドブック Ver. 1.0β」が公開された。NPO日本ネットワークセキュリティ協会のCISO支援ワーキンググループのメンバーによって作成されたこのハンドブックは、どのような狙いを持って作成されたのだろうか。中心となった4人のキーパーソンに、このドキュメントに込めた願いを聞いた。

[宮田健，ITmedia]

「サイバーセキュリティ経営ガイドライン」は力強い味方、なのだが……

　皆さんは経済産業省が発行した「サイバーセキュリティ経営ガイドライン」をご存じだろうか。2015年12月に初版が公開され、ビジネスにおいてIT利活用を進める上で、セキュリティ投資をどう判断するかをまとめたものだ。経営者が情報セキュリティ対策を行う上で責任者となる「CISO」（Chief Information Security Officer：最高情報セキュリティ責任者）に指示すべき内容がまとめられており、2017年11月にはVer.2.0が発行された。業界内でも評価の高い、貴重な資料といえる。

　情報セキュリティにおいては、これまでも多くのインシデントが報道され、組織をサイバー攻撃から守るべく、セキュリティ対策を所轄するCISOへの注目がいっそう高まっている。ならば、このサイバーセキュリティ経営ガイドラインに沿って対策を進めればいい――と言いたいところだが、このガイドラインではフレームワークやCSIRT（Computer Security Incident Response Team）に関する内容にとどまり、実務そのものが記載されているわけではない。そのため、「じゃあ、明日からCISO、よろしく」といわれてしまった責任者は途方に暮れてしまう。

　このような現状をなんとかしたい――その思いから「CISOハンドブック Ver. 1.0β」が2018年5月に公開された。NPO日本ネットワークセキュリティ協会（JNSA）のCISO支援ワーキンググループのメンバーによって作成されたこのハンドブックは、どのような狙いを持って作られたのだろうか。今回は中心となって活動した4人のキーパーソンに、このドキュメントに込めた願いを聞いてみた。

• CISOハンドブック（CISO支援WG）（NPO日本ネットワークセキュリティ協会）

写真左からPreferred Networks 執行役員 最高セキュリティ責任者 高橋正和氏、ラック マーケティング部 マーケティング戦略室長 武田一城氏、東芝 技術・生産統括部 サイバーセキュリティセンター 情報セキュリティ管理担当 主務 池上美千代氏、三菱電機インフォメーションネットワーク セキュリティサービス事業センター 技師長 田中朗氏

なぜ、「CISOハンドブック」はまとめられたのか

　セキュリティを経営に取り込むための試みとして、経済産業省が発行した「サイバーセキュリティ経営 ガイドライン」が注目されています。重要な取り組みの一つですが、ポリシー順守を目的としたPDCA（Plan、Do、Check、Act）フレームワークとCSIRTが主要な内容で、CISO業務の執行に必要なビジネスの視点は取り上げられていないように思います。
（CISOハンドブック Ver.1.0β 「1. はじめに」より）

　このハンドブック制作に携わった、Preferred Networks 執行役員であり最高セキュリティ責任者の高橋正和氏は、「正直、5カ月位あればちょちょいとまとめられると思ったが、実際2年半かかった」と、その苦労を振り返る。

　「CISOに向け、サイバーセキュリティ経営ガイドラインには載っていない“業務執行”部分をまとめ、CISOがどう手を動かせばいいのかを示す。意味の広い経営という言葉を業務執行と置き換え、恐らく業務執行を念頭におかずに書いたであろうサイバーセキュリティ経営ガイドラインに残る“穴”を埋めるドキュメントにしたい」と高橋氏は考えていたという。

　しかしそれは、かなりの難作業だったようだ。経営会議に出るために必要な知識、例えば財務諸表の数字の意味やERM（エンタープライズリスクマネジメント）などを知らなければ、会話が成り立たないことが多い。セキュリティプロフェッショナル認定資格制度（CISSP）の知識だけでは足りない。もしITの知識があるというだけでCISOになってしまうと、その点で行き詰まってしまうのだ。

　実際、高橋氏もこれまで在席していた企業で経営会議に参画したことがあり、その時には「怒られまくった」という。「コンサルビジネスを立ち上げたとき、事業責任者として数字を持つことになった。怒られた後、その部分を直して再度話しにいっても、また怒られた」（高橋氏）

　この時、高橋氏は「これはゲームが分かっていないのだ」と実感したという。「どういう仕組みで経営が成り立ち、経営陣が何のために議論しているかが分からなかった。経営者としてはごく当たり前のことなのだが、技術者の立場では触れる機会はなかった。急に経営陣の中に入ることになったら、私のように慌ててしまうだろう。だから、技術者が経営陣に加わり“業務執行”するときにおさえるべき”前提”をまとめたものを、ずっと作りたいと思っていた」（高橋氏）。

タスクを積み上げるな、「アーキテクチャ」を決めよ

　セキュリティ計画を策定する際には、セキュリティから考え始めるのではなく、ビジネスコンセプトから始まる階層構造で考えることが必要です。
（CISOハンドブック Ver.1.0β 「3. 情報セキュリティマネジメントの基礎知識」より）

　ワーキンググループにおける最初の打ち合わせでは、そもそもCISOはどのような位置付けなのか、という定義から始まったという。ラック マーケティング部 マーケティング戦略室長の武田一城氏は「そもそもCIO（Chief Information Officer：最高情報責任者）自体が破綻しているところが多く、ピンとこなかった。セキュリティでオフィサー？　そんなの機能しないでしょ！　と。そもそも組織によって、その位置付けも大きく変わるのではないか、という話からスタートしていた」と述べる。

　しかし、高橋氏は“業務執行”にこだわった。「CxO」という名称から、責任を取る立場であることは明白だが、セキュリティに詳しい人が就任したところで何の業務をすべきなのか、そこがポイントだと考えたという。

　業務執行をする上でCISOが意識すべきこと、それはビジネスコンセプトに沿ったITコンセプトと、セキュリティコンセプトをCIO、そして他の経営陣と協力して構築するということだ。武田氏は「セキュリティの人たちは同じレイヤーでは話ができるが、例えば経営陣など違うレイヤーの人との会話は下手。これまではお互いが何の話をしているか分からなかった。結果、『あいつら分かってない』で終わってしまう」と述べる。

　会話がかみ合わないとどうなるか。「そうなると、現場では『どのアンチウイルスソフトにするか？』というようなことを議論し始める。これは“タスク”でしかない。本来はセキュリティアーキテクチャを考え、そのコンセプトに沿った形でセキュリティプランを考え、タスクを作る。階層になっているという考え方が日本では薄いかもしれないと考えた。製品を買ったら何とかなるなどタスクレベルの考え方で止まってしまうため、柔軟性が薄く、経営者と話が合わないのだ」（高橋氏）。

　CISOハンドブックでは、これを「情報セキュリティ計画フェーズの実施モデル」として三角形の図で表現している（図1）。武田氏は「その時の最新で、これまでと違うぞ、筋が通ってるぞという製品やソリューションだけを見ると、タスクから積み上がってくる。そんな報告が上がると、“これによって我が社のセキュリティレベルはアップしました！”と思い込むしかなく、本来重要なアーキテクチャ、コンセプト不在になる。この図とハンドブックで“自分の仕事”として考えてくれる人が増えるのではないか」とし、本ハンドブックにおいても重要な図だと述べた。

図1：情報セキュリティ計画フェーズの実施モデル（CISOハンドブック「3. 情報セキュリティマネジメントの基礎知識」より引用）