セキュリティ事故発生時の“正しい記者会見のやり方”って？ CISOの強い味方が登場：半径300メートルのIT

自社のセキュリティ戦略をどう進めるべきかに悩むCISOや経営者の強い味方となる書籍が発売されました。その名も「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」です。本書の“何がすごいのか”を紹介していきましょう。

[宮田健，ITmedia]

　もう5年前ですが、日本ネットワークセキュリティ協会（JNSA）のCISO支援ワーキンググループのメンバーに「CISOハンドブック」ができるまでのお話を聞きました。

　CISOハンドブックは、経営者が組織の情報セキュリティを統括するCISO（最高情報セキュリティ責任者）に指示すべき内容をまとめた経産省の資料「サイバーセキュリティ経営ガイドライン」に対し、よりCISOの立場に立ち、具体的なビジネス視点をベースとしてまとめた資料です。

　本ハンドブック制作に携わった高橋正和氏からは、CISOに任命されている方、これからCISOとなる方に寄り添い、少しでも力になれる資料を作ることに尽力されていることがひしひしと伝わってきたことを筆者は今も覚えています。

　同氏はその後、大幅にアップデートした「CISOハンドブック―業務執行のための情報セキュリティ実践ガイド」（技術評論社）を書籍として出版しています。

　そして2023年1月、ここからさらに一歩踏み込み、CISOがより現実に即した“フレームワーク”に触れられる新たな書籍「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」が技術評論社から出版されました。著者の高橋氏に本書をお送りいただきましたので、今回はこれを紹介したいと思います。

CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ：書籍案内｜技術評論社（出典：筆者のキャプチャー）

インシデント発生時の“正しい記者会見のやり方”を知っていますか？

　高橋氏は本書で、具体的な事件や事故を想定し、机上演習で課題を解決する過程を逆算して対策を講じる手法を解説しています。同氏は以前からフレームワークの重要性を説いていましたが、今回はこれを「CISO-PRACTSIE」（PRactical Assessment for Company-wide security measures Through Security Incident Exercise for CISO）と名付けています。

　このフレームワークのポイントは、インプットを「事件や事故のシナリオ」、プロセスを「組織のセキュリティ施策」、アウトプットを「公表と報告」としている点でしょう。特にアウトプットを「公表と報告」、つまりセキュリティ事故が起きたときの「記者会見」や「リリース」に置いている点は、現実世界におけるサイバー事故発生時の対応に即しており、経営陣もその重要性を理解しやすいはずです。

　事件や事故の際に“何をどこまで公表するか”というのは難しい問題でしょう。サイバーセキュリティ経営ガイドラインの「付録C インシデント発生時に組織内で整理しておくべき事項」でもこれらはまとめられています。しかし今回の書籍は、これらがただまとまっているだけでなく、非常に実践的な内容にまで踏み込んでいます。

　例を挙げると、本書には「記者会見を開催する上での留意点」という章があり、そこには“ノーコメントに変わる言葉”のリストまで記載されています。個人的にはこの章から本書の狙いが垣間見えた気がして、一気読みしてしまいました。

　本書のフレームワークは、手探りで業務をこなそうと考えている挫折しそうな新人CISOだけでなく、「CISOを任命したいが経営視点で何をすればよいか分からない」といった悩みを抱える経営者にとっては福音だと思います。

　既にセキュリティ施策がある程度うまく回っている組織にとっては新たなフレームワークの追加は負荷になってしまうかもしれません。しかしその場合でも「CISO-PRACTSIE」と自社のフレームワークを比較することで、足りない部分が明らかになり、自社にとって重要施策がどこかが理解できるはずです。

　もちろんプロセス部分もしっかりとした解説があり、CISOが取り組む際に困難だったり、心が折れそうになったりする部分に関して先回りして寄り添うようなコラムやTipsもまとめられています。個人的には高橋氏がJNSA-CERCを設立した裏話が非常に印象に残りました。

　CISOハンドブックも同様ですが、関連資料や基になる資料へのポインタもしっかり記載されています。これまでは「サイバーセキュリティ経営ガイドライン」を読む前に「CISOハンドブック」を読むべきという印象でしたが、さらにその前に読んだ方がいい、入り口としての資料が本書なのではないかと思います。

CISOは（以前にもまして）孤独ではない

　CISOハンドブックのコラムには「CISOは孤独ではない」という言葉が登場しました。あれから5年がたち、現状は良くも悪くも大きく変化しています。高橋氏は本書の序文でこのような言葉を述べています。

一方で，経営者とセキュリティについて議論をすると，セキュリティに対する理解の深さや視点の的確さに驚くことがあります。経営はそもそもリスクと向き合う行為であり，経営という不確定なものを扱う経営者は，本質的にセキュリティ視点を内包しているのかもしれません。

（CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ　まえがきより）

　経営者たちもセキュリティの重要性を理解し始めています。その点からも、CISOの味方は増えているはずです。本書の対象者は主にCISOや経営者で、その肩書を持つ方、セキュリティ担当者にはぜひ手に取ってみてほしいと思います。

　フレームワークにおける「インプット」の机上演習で使える、実際に起きた事件や事故のサマリーも最新版になっている他、間違えやすい用語の解説などもまとめられており、セキュリティの入り口として組織が何をすべきかがよく分かるので、将来のCISOメンバーにも役立つはずです。

　世に多くある資料を手に取って抽象的なことは分かったとしても、実際にその“セキュリティ”を具体化せよと言われると、単に今出ているセキュリティソリューションを選択するだけになってしまっている現場も多いでしょう。自社が何をすべきか、より具体的に取り組みたいと思った担当者はぜひ本書をチェックしてみてください。意外とさらりと読めてしまうはずですが、その真意を実行するためにはさらなる時間が必要かと思います。サイバー空間という大きな山を登るために、CISOに用意された“最初のシェルパ”のような一冊でした。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。