全ての悩めるCISOにささげる――「CISOハンドブック」はいかにして生まれたか(2/2 ページ)
2018年5月、「CISOハンドブック Ver. 1.0β」が公開された。NPO日本ネットワークセキュリティ協会のCISO支援ワーキンググループのメンバーによって作成されたこのハンドブックは、どのような狙いを持って作成されたのだろうか。中心となった4人のキーパーソンに、このドキュメントに込めた願いを聞いた。
重要なのは「PDCA」だけではない
PDCAは万能ではありません。例えば、プロジェクトマネジメントにPDCAを適用しても、うまくいかないことが多いようです。PDCAと似た考え方に、PDS(Plan、Do、See)があります。PDCAは年間計画などのマネジメントに向いた手法ですが、PDSは具体的な活動のマネジメントに向いたサイクルで、プロジェクト管理のように流動性が高い場合はPDSサイクルの方が適用しやすいと考えられます。
(CISOハンドブック Ver.1.0β「3. 情報セキュリティマネジメントの基礎知識」より)
本ハンドブックでは、経営サイクルと情報セキュリティマネジメントサイクルを考える上で、「PDCA信奉」にも活を入れる。PDCAとはご存じの通り、計画、実行、評価、改善のサイクルとされているが、プロジェクト管理にはPlan、Do、Seeの「PDSサイクル」や、「OODA(Observe、Orient、Decide、Act)ループ」のようなフレームワークも提示している。
三菱電機インフォメーションネットワーク セキュリティサービス事業センター 技師長の田中朗氏は「業務執行をキーとしてまとめたことで、他のフレームワークもしっかり紹介すべきだと考えた。これは経営陣が迅速なアクションを起こす必要があるからだ。大企業ならばゆっくり確実にやるという点でPDCAサイクルが重要なことは分かるが、ビジネスを素早く回すなら、他のサイクルが合っている」と述べる。
特にセキュリティに関しては、サイクルのスピードが重要となる。東芝 技術・生産統括部 サイバーセキュリティセンター 情報セキュリティ管理担当 主務の池上美千代氏は「スマートフォンが本格的に普及して10年、サイバー攻撃を行う攻撃者のサイクルはもっと速いわけで、守る側もそのスピードについていかなければならない」と指摘する。サイクルを再定義し、モデルを再認識することで、アーキテクチャという“背骨”から生み出される施策をディスカッションするベースができた。「このハンドブックをたたき台として、これを使って“会話”をしてほしい」(池上氏)
CISOは孤独ではない
とあるCISOは20年のキャリアを振り返って「よく頑張ったし、いくつかの戦闘では勝利もしたが、戦争には負けた。一人きりで感謝されることもない、終わりの見えない辛い仕事だった」という言葉を残しています。
こうした満身創痍・四面楚歌のCISOにしか分からない孤独と苦悩をわかち合い、解決のヒントと心の平安を求めて、業界を超えたCISO同士のラウンドテーブルでの情報交換、ネットワーキングが、世界中で活発に行われています。
本書もこうしたCISO業務に取り組む方々の手助けとなることを願っています。
(CISOハンドブック Ver.1.0β「コラム:CISOの孤独」より)
この資料は2018年5月に公開された。JNSAでも発表会を行い、多くのポジティブな反応があったという。しかし、内部の人間からは「1ページ目で眠たくなったよ(笑)」という意見もあったという。この点に関しては、「技術だけやってきた人には眠くなるかもしれない。でも、自分たちでいうのも何だが、パッと目を通して損はない、他にはまずないまとめられ方のテキストだと思っている」と高橋氏は述べる。
「COSOフレームワークなどを解説する書籍などは、リスクにフォーカスしていてあまりにもしっかりしており、ちょっと重たい。そこに至る前の入門として、全体感を捉える資料として使えるのでは」(高橋氏)。「1回目は『ふうん』かもしれないが、2,3回目で『なるほど!』と思ってもらえるはず。困ったときにもう一度手に取ってほしい」(田中氏)。
筆者が個人的に気になったのは、CISOハンドブックの各所に挿入されている「コラム」の存在だ。ハンドブックというと印象の堅いものを想像するだろうが、本書はこのコラムが一服の清涼剤として機能しており、このコラムを読むだけでも面白い。この点に関して高橋氏は、「こういったフレームワークを紹介すると、どうしても執筆者個人の思いが乗りにくい。その思いを本文で表現するのは難しいが、コラムなら許容されると考えた」と述べる。とはいえ、このコラムは本文にも影響を与えることになる。本ハンドブックの監査部分は、当初コラムとして上がってきた内容だったという。
特に印象に残る「CISOの孤独」に関して田中氏は、「CISOは社内のビジネス部門や他のCxOと仲間になれる。社外のいろいろな人ともつながれる。CISOは孤独ではないんです」と述べる。
サッカーもボールだけを追いかける“キックアンドラッシュ”の時代から、マンツーマンを経てシステム化することにより、近代化が始まった。トップガンだけに頼るのではなく、狙いを定めて方向性を統一する――そのような思いから、CISOハンドブックは作られている。
このハンドブックを読むと、情報セキュリティマネジメントの基礎知識から、経営指標としての「数字の重要性」、さらにはCFO(Chief Financial Officer:最高財務責任者)、COO(Chief Operating Officer:最高執行責任者)、CIO、CRO(Chief Risk Officer:最高リスク管理責任者)との連携をどう取っていくべきかなどがまとめられ、大変具体的な資料として活用できる。「これはオペレーションのひな型。だから、時がたっても古くはならないだろう」(高橋氏)
技術担当からCISOになった人、セキュリティ経験の少ないCISOがセキュリティを理解する上の資料として、ぜひ一度手に取って読んでほしい。
関連記事
- アクサ生命のCSIRT、“本気の”サイバー演習で見えた課題
ITmedia エンタープライズ主催のセキュリティセミナーで、アクサ生命のCISOが登場し、CSIRTとサイバーインシデントレスポンスの取り組みを紹介した。同社では情報漏えいなどのシナリオを想定した“本気の”演習を毎年行っているという。 - 脆弱性発見のプロ集団ーーリクルート「レッドチーム」の仕事とは?
インシデントを未然に防ぐために、社内のセキュリティリスクを洗い出す「レッドチーム」。日本でいち早く“自前”のレッドチームを立ち上げたリクルートテクノロジーズに、そのミッションと日々の活動を聞いた。 - 「平成生まれのハッカー社長」が考える、働き方改革に潜む“脆弱性”とは?
働き方改革のために、セキュリティをどうすべきか――。ITmedia エンタープライズが開催したセミナー「働き方改革のリアル」で行われた講演では、この難題をクリアするための考え方やさまざまなツールが紹介された。 - 進まないCSIRT、設置予定なしが4割にも
世界規模でランサムウェアが猛威をふるったのは記憶に新しいが、そうした有事に指令塔として機能するCSIRTの設置が進んでいないことが分かった。 - インシデント対応の達人が語ったCSIRTブームに沸く日本企業への至言
セキュリティインシデントへ組織的に対応すべくCSIRT構築に取り組む企業が増えているが、その道のりは平たんではないようだ。JPCERT/CC、日本シーサート協議会、ANAグループ、ラックのエキスパートによる議論が行われた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.