ニュース
» 2018年07月06日 07時00分 公開

全ての悩めるCISOにささげる――「CISOハンドブック」はいかにして生まれたか (2/2)

[宮田健,ITmedia]
前のページへ 1|2       

重要なのは「PDCA」だけではない

 PDCAは万能ではありません。例えば、プロジェクトマネジメントにPDCAを適用しても、うまくいかないことが多いようです。PDCAと似た考え方に、PDS(Plan、Do、See)があります。PDCAは年間計画などのマネジメントに向いた手法ですが、PDSは具体的な活動のマネジメントに向いたサイクルで、プロジェクト管理のように流動性が高い場合はPDSサイクルの方が適用しやすいと考えられます。
(CISOハンドブック Ver.1.0β「3. 情報セキュリティマネジメントの基礎知識」より)

 本ハンドブックでは、経営サイクルと情報セキュリティマネジメントサイクルを考える上で、「PDCA信奉」にも活を入れる。PDCAとはご存じの通り、計画、実行、評価、改善のサイクルとされているが、プロジェクト管理にはPlan、Do、Seeの「PDSサイクル」や、「OODA(Observe、Orient、Decide、Act)ループ」のようなフレームワークも提示している。

 三菱電機インフォメーションネットワーク セキュリティサービス事業センター 技師長の田中朗氏は「業務執行をキーとしてまとめたことで、他のフレームワークもしっかり紹介すべきだと考えた。これは経営陣が迅速なアクションを起こす必要があるからだ。大企業ならばゆっくり確実にやるという点でPDCAサイクルが重要なことは分かるが、ビジネスを素早く回すなら、他のサイクルが合っている」と述べる。

 特にセキュリティに関しては、サイクルのスピードが重要となる。東芝 技術・生産統括部 サイバーセキュリティセンター 情報セキュリティ管理担当 主務の池上美千代氏は「スマートフォンが本格的に普及して10年、サイバー攻撃を行う攻撃者のサイクルはもっと速いわけで、守る側もそのスピードについていかなければならない」と指摘する。サイクルを再定義し、モデルを再認識することで、アーキテクチャという“背骨”から生み出される施策をディスカッションするベースができた。「このハンドブックをたたき台として、これを使って“会話”をしてほしい」(池上氏)

CISOは孤独ではない

 とあるCISOは20年のキャリアを振り返って「よく頑張ったし、いくつかの戦闘では勝利もしたが、戦争には負けた。一人きりで感謝されることもない、終わりの見えない辛い仕事だった」という言葉を残しています。
 こうした満身創痍・四面楚歌のCISOにしか分からない孤独と苦悩をわかち合い、解決のヒントと心の平安を求めて、業界を超えたCISO同士のラウンドテーブルでの情報交換、ネットワーキングが、世界中で活発に行われています。
 本書もこうしたCISO業務に取り組む方々の手助けとなることを願っています。

(CISOハンドブック Ver.1.0β「コラム:CISOの孤独」より)

 この資料は2018年5月に公開された。JNSAでも発表会を行い、多くのポジティブな反応があったという。しかし、内部の人間からは「1ページ目で眠たくなったよ(笑)」という意見もあったという。この点に関しては、「技術だけやってきた人には眠くなるかもしれない。でも、自分たちでいうのも何だが、パッと目を通して損はない、他にはまずないまとめられ方のテキストだと思っている」と高橋氏は述べる。

 「COSOフレームワークなどを解説する書籍などは、リスクにフォーカスしていてあまりにもしっかりしており、ちょっと重たい。そこに至る前の入門として、全体感を捉える資料として使えるのでは」(高橋氏)。「1回目は『ふうん』かもしれないが、2,3回目で『なるほど!』と思ってもらえるはず。困ったときにもう一度手に取ってほしい」(田中氏)。

 筆者が個人的に気になったのは、CISOハンドブックの各所に挿入されている「コラム」の存在だ。ハンドブックというと印象の堅いものを想像するだろうが、本書はこのコラムが一服の清涼剤として機能しており、このコラムを読むだけでも面白い。この点に関して高橋氏は、「こういったフレームワークを紹介すると、どうしても執筆者個人の思いが乗りにくい。その思いを本文で表現するのは難しいが、コラムなら許容されると考えた」と述べる。とはいえ、このコラムは本文にも影響を与えることになる。本ハンドブックの監査部分は、当初コラムとして上がってきた内容だったという。

 特に印象に残る「CISOの孤独」に関して田中氏は、「CISOは社内のビジネス部門や他のCxOと仲間になれる。社外のいろいろな人ともつながれる。CISOは孤独ではないんです」と述べる。

 サッカーもボールだけを追いかける“キックアンドラッシュ”の時代から、マンツーマンを経てシステム化することにより、近代化が始まった。トップガンだけに頼るのではなく、狙いを定めて方向性を統一する――そのような思いから、CISOハンドブックは作られている。

 このハンドブックを読むと、情報セキュリティマネジメントの基礎知識から、経営指標としての「数字の重要性」、さらにはCFO(Chief Financial Officer:最高財務責任者)、COO(Chief Operating Officer:最高執行責任者)、CIO、CRO(Chief Risk Officer:最高リスク管理責任者)との連携をどう取っていくべきかなどがまとめられ、大変具体的な資料として活用できる。「これはオペレーションのひな型。だから、時がたっても古くはならないだろう」(高橋氏)

 技術担当からCISOになった人、セキュリティ経験の少ないCISOがセキュリティを理解する上の資料として、ぜひ一度手に取って読んでほしい。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -