本書を手に取った背景
CISSP受験のための勉強。CISSPにはマネジメントに関する内容も出てくるため、本書を読んでみようかと思った。
本書のテーマ
CISOになったとき、経営陣の言葉を理解したり、業務執行の手がかりとなる内容をなっている。
個人的なポイント
1,PDCAもいいが、OODAを使う。
OODAは想定外の事態や、緊急席の高い事態への対応を想定している。Observr,Orient,Decide,Act。セキュリティは想定外の事態も起こりえるので親和性が高い。
経営陣に緊急性を伝えたいときにも使える。
2,財務諸表もみれるようにする
CISOはセキュリティを見れていればいいわけではない。ビジネス観点からセキュリティについていつでも語れる必要があり、当然財務諸表も見れる必要がある。
例えば、ROIを考慮したセキュリティ投資などである。
3,監査の分類
職員による監査、第三者による監査の二種類がある。
4,外部認証、情報セキュリティ対策実施状況の把握
ISO、SOC、STAR、個人情報保護などさまざまな規格や認証がある。
5,新しい領域のセキュリティ
IOT、自動車、AI、」ChatGPTなど新しい技術へのセキュリティをチェックする必要がある。
6,地政学リスク
ビジネス展開している企業が懸念するリスクの3位にサイバー攻撃、サイバーテロがランクインしていた。
7,CISOの役割
事業貢献、コーポレート・ガバナンス、リスク管理、セキュリティ対策が主な業務。
8,他のCxOとコミュニケーションをとり、会議などを適宜実施する
CIO、CFOなどいろんな部署のトップと話す必要がある。例えば、なにかセキュリティインシデントが発生したとき、財務部や法務部とも話す必要がある。
1番心に残った部分
ピンポイントではないが、ビジネス観点からセキュリティをどう考えればいいかが非常にわかりやすかった。
今後やれること
・数字の意識
・OODA実践
まとめ
基本的には、CISOの総論に近い内容。CISOがどんな役割で、どんな知識が必要で、どこから情報を得られるかというのが中心で、各項目の各論にはそこまで深く触れてない。
しかし、セキュリティに携われるものとしては、把握したいし、せっかくなら目指したい。