連載
» 2021年02月09日 07時00分 公開

ビジネス視点でセキュリティを考える 「CISOハンドブック」が教えてくれること半径300メートルのIT

インシデントに強い組織を構築するために、CSIRTやCISOの設置を考える企業の中には、組織や役職を設置することが目的となり、実際に何をすればいいかが分からないケースも見受けられます。「CISOが明日から使える知識が欲しい」場合はどうすればよいのでしょうか。

[宮田健,ITmedia]

 その昔は“これさえ導入すれば、セキュリティレベルは必ず上がる”といわれる製品が存在しました。メールセキュリティアプライアンスや次世代UTM(統合脅威管理:Unified Threat Management)などがそれに当たるでしょう。製品1台でさまざまなセキュリティ機能を網羅できるため、これまで大企業でしか実現できなかった防御機能が手に入ると評判でした。

 いまでは「導入すればOK」といえるような製品はなかなか見つかりません。「情報漏えい対策」や「エンドポイント強化」「ログの連携による深掘り」など、1機能に特化した製品やサービスを組み合わせ、パッケージとして提供するのが現在の主流です。

 セキュリティソリューションの進歩は目覚ましく、AI(人工知能)など最先端の技術を採用したものも少なくありませんが、どの製品も入れるだけでは機能せず、組織ごとのチューニングやポリシーの構築などが前提になっています。ベンダーが開発した製品やサービスを無用の長物にしないように“セキュリティ対策をどう実現すべきか”を組織ごとに考える必要があるでしょう。

組織のセキュリティ対策 指針となるドキュメントは

 近年、インシデントハンドリングに特化したCSIRT(Computer Security Incident Response Team)やセキュリティ対策や情報管理の責任者であるCISO(Chief Information Security Officer:最高情報セキュリティ責任者)など、セキュリティ対策のための組織作りが注目されています。経済産業省が公開した「サイバーセキュリティ経営ガイドライン」は、こうした組織作りにおける重要な指針といえるでしょう。

 一方でサイバーセキュリティ経営ガイドラインは、あくまでも「ガイドライン」であり、CISOにとって実用的かどうかは疑問視されています。ビジネス視点を踏まえた上で「CISOが明日から使える知識が欲しい」場合はどうすればよいのでしょうか。

 2018年に日本ネットワークセキュリティ協会(以下、JNSA)が発表した「CISOハンドブック」は、サイバーセキュリティ経営ガイドラインには載っていない"業務執行部分をまとめて、どう手を動かせばいいのか"を示した、CISOの心強い味方です。今回、以前のPDF版から大幅にアップデートされて、技術評論社から書籍として発売されました。非常にボリュームがあり充実した内容になっています。

「CISOハンドブック―業務執行のための情報セキュリティ実践ガイド」(技術評論社)

 CISOハンドブックは、2020年12月時点でのベストプラクティスや時代に合った組織作りを考える上での検討ポイント、ガイドラインやフレームワークの注目ポイントを網羅しています。読者の中には、この本で触れられているセキュリティ関連のフレームワークの数に驚く方も少なくないでしょう。

 情報セキュリティアーキテクチャの総論を踏まえた上でのゼロトラストや、情報セキュリティを軸としたときのデジタルトランスフォーメーション(DX)、クラウドファースト時代のセキュリティ、新型コロナウイルス感染症(COVID-19)以後のセキュリティなどにも触れているため、時代に合わせた組織構築に役立つはずです。

CISOに必要な知識は"ITだけ"にとどまらない

 個人的に注目したいのは、同書がIT以外の経営知識に言及している点です。第3章「基本となる経営指標」は、財務会計の基礎から管理会計、ファイナンスなどの会計知識を扱っています。CISOは、経営層に対してセキュリティ対策のコストを説明する場面も少なくありません。同書の構成が経営層との会話を念頭に置いた作りになっていることがここからも読み解けます。

 実際のインシデントを例に挙げた対策も紹介しています。第10章「情報セキュリティインシデント対応と報告」は、企業で発生しうるインシデントの種類と、CSIRTやCISOがどのように対処すべきかをまとめています。AIや暗号資産、SNSを起点とした“炎上”など新たな領域におけるインシデントに言及している点も特徴です。

 第10章は、セキュリティ対策において、マルウェア「WannaCry」や「Emotet」など話題になった攻撃にその都度対処するのではなく、存在しうる脅威を俯瞰し、優先して対策が必要な攻撃を判断し、そこから初めて脅威対策となる製品やサービスを選定する、という流れを推奨しています。

CISOだけでなく、セキュリティに携わる全ての人へ

 今回はCISOハンドブックの書籍版を紹介しましたが、同書はリファレンスとしても活用できるため、スマートフォンやタブレットから閲覧できる電子書籍版もおすすめです。コラムも多数掲載されており、ここだけ読んでも役立つ知識が得られるでしょう。

 CISOはもちろんのことセキュリティに関連する全ての人は、セキュリティの考え方を学ぶ羅針盤として、同書を手元に置いてほしいと思います。特に「上層部がセキュリティの重要性を理解してくれない」という悩みを持つ方は、上層部とのコミュニケーションを取る上で有効に活用できるでしょう。

 最後にCISOハンドブックを執筆した高橋正和氏の「はじめに」を少し引用したいと思います。心から同意できる一文です。

 「経営陣は情報セキュリティが分かっていない!」という声も聞きますが、情報セキュリティが分かる経営者に期待するよりは、経営が分かるCISOを目指した方が、近道であり、実りが多いと思います。


(「CISOハンドブック―業務執行のための情報セキュリティ実践ガイド はじめに」より)


著者紹介:宮田健(みやた・たけし)

『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門 「木曜日のフルット」と学ぼう!〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ