2023年1月21日、「CISOハンドブック」の第2弾として、「CISOのための情報セキュリティ戦略~危機から逆算して攻略せよ~」が出版される運びとなりました。
本書は、“セキュリティ施策をデバッグする”をテーマに、「P. プロファイル(資料などの収集・整理)」、「E. 机上演習」、「S. 事件・事故の公表」、「F. フィードバック」の4つの視点から、ソフトウェア開発におけるウォークスルーのようにセキュリティ施策を確認し、デバッグする手順を体系化したものです。
「机上演習なんて甘ちょろい」という見方もあると思いますが、机上演習は紛失や盗難、ランサムウエアに対する身代金の支払いの判断、といった、ペネトレーションテストでは実施できないシナリオを扱えるだけではなく、「S. 事件・事故の公表」というアウトプットを設定することで、経営陣、事業責任者、法務、広報といった社内の関係者が同じ土俵で議論すること、つまり技術論に留まらない、組織としての議論が見込めるメリットがあります。
 |
CISOのための情報セキュリティ戦略 ~危機から逆算して攻略せよ~ 高橋正和(著)JNSA CISO支援ワーキンググループ(協力) 出版社 : 技術評論社 発売日 : 2023/1/21 単行本(ソフトカバー) : 200ページ ISBN978-4-297-13294-1 C3055 https://gihyo.jp/book/2023/978-4-297-13294-1 |
|---|
※ 本記事は、JNSAメールマガジンに第253号:セキュリティ施策をデバッグする「CISOのための情報セキュリティ戦略」のご紹介(2023.1.6配信)として寄稿した内容を再掲したものです。
概要
本書の執筆を始めたきっかけは、「CISOハンドブックは分った気になるけど、使おうと思うと使えないのだよね」というWGメンバのコメントでした。自身が関わった本なのだから、読書百遍で分かるはず!と言いたいところですが、CISOハンドブックは、業務を進める際に必要なセクションを参照する構成なので、流れが掴みにくいかもしれません。実際のセキュリティ業務とCISOハンドブックを結びつけることを目指して、2018年に公表した「インシデント対応ワークショップ 」 をベースに、事件・事故のシナリオを使った机上演習としてまとめることにしました。
蕎麦屋の出前の伝統どおり、すぐにでも書けるかと書き始めましたが、「CSIRT向けの内容とどこが違うのか?ATT&CKじゃダメなのか?」というWGメンバのコメントで作業が凍り付きます。この疑問は、本書の本質に関わるようで、査読をいただいた方々からも、類似する指摘をいただく事となりました。
本書は、検証の対象を技術やシステムではなく、事業視点としている点に特徴があります。端的には、フォレンジックなどの具体的な技術ではなく、誰が事業継続などの判断をすべきか、何を公表すべきなのか、被害者にどう対応すべきか、処々の判断基準はどうあるべきか、といった内容を取り上げています。また、この点を強調するため、事件・事故を展開した例を掲載し、また、ワークショップを行うための仮想的な会社の「P. プロファイル」を掲載しました。
セキュリティ対策を進める上で、ISMSに代表される国際的なベストプラクティスが重要な役割を果たしています。しかし、ベストプラクティスの遵守が、必ずしも適切なセキュリティ施策になっているとは限らず、事業戦略や経営戦略に沿ったものとなっているとも限りません。
本書は、企業が自らの手で、事業視点・経営視点からセキュリティ施策を検証し、関係者が課題と責任を共有する手段を提案しています。ユーザー企業が自社のセキュリティ施策を検証する際に、また、セキュリティベンダーがCISO視点からソリューションを提案する一助として、ご参照いただければ幸いに思います。
CISO支援ワーキンググループでは、(原則)毎週月曜夕方にオンライン会議を開催しています。本書の内容だけではなく、業務上の課題や、国内外の最新動向などについてもディスカッションを行っています。現在は、本書をベースにしたワークショップの実施に向けて議論を進めているところです。
CISO業務に悩んでいる方、WG活動に興味を持っていただいた方、CISOハンドブックや本書に言いたいことがある方は、ぜひCISO支援ワーキンググループにご参加ください。新しいチャレンジをご一緒できると思います。
謝辞
最後になりますが、多くの専門家の皆様の知見とアドバイス、また様々な経験と機会を頂きました。執筆陣の力だけでは、ここまでの形にすることは出来なかったと思います。
ご協力を頂いた皆様に改めてお礼を申しあげます。