LAC WATCH

セキュリティとITの最新情報

RSS

広報情報 | 

JNSAの有志によって作成された「CISOハンドブック」とは?

ラックも参画する日本ネットワークセキュリティ協会(JNSA)から、2021年1月20日、「CISOハンドブック―業務執行のための情報セキュリティ実践ガイド」(著作 JNSA CISO支援ワーキンググループ)が出版されました。

この本について書籍の制作を行ったJNSA CISO支援ワーキンググループのリーダー高橋氏より、LAC WATCH読者の皆様へ向けて、CISOを支援する活動とこの書籍について寄稿頂きましたので紹介します。


こんにちは、JNSAの高橋です。

「セキュリティは経営課題だ」という言葉を聞いたことがある方も多いと思います。最近、情報セキュリティへの取り組みをより強固にするために「CISO」という役職を設ける企業も徐々に増え始めています。

ところが、CISOという役割について概略を説明した文書を見つけられても、実務面でいったいどんな事をすればいいのか、その詳細について語られたものはほとんどありません。

経営と現場をつなぐサイバーセキュリティの橋渡し役だとも言われていますが、実際にCISOに就任された方々の話を聞くと、皆さんが手探りしながらやっているという実情が見えてきました。CISOは経営レベルの役職であり、日本ではまだ馴染みのない新しいポジションです。困ったことがあっても相談する相手も見つからず、皆さんご苦労をされているという事でした。

そこで、JNSAではこの「CISO」という役割を担った方が、どんな事を具体的に実践すれば良いのか?また経営陣は「CISO」という役割をどう活用していけばいいのかを、整理してみようということになりました。

2015年に取り組み始めたときには3カ月程度で形にできると見込んでいました。ところが、いざ内容を吟味し始めてみると、専門分野の常識として理解しているつもりでも、あやふやなことや、体系立てられていないことが多岐にわたり、なかなか内容をまとめることができませんでした。

より多くの知見を得るため、JNSA CISO支援ワーキンググループを立ち上げ、議論を重ねることで、2018年5月に「CISOハンドブック Ver1.0β」として公表することができました。この取り組みに対して様々な方から期待の声を頂いていたものの、最終的に形にするまでに2年半もの期間を要したことから「蕎麦屋の出前」プロジェクトとも呼ばれていました。

そして今回、「CISOハンドブック」の刷新をするにあたり、技術評論社から出版の機会をいただけることとなりました。Ver.1.0βの発行以降、ワーキンググループに新たなメンバーも加わったことで、内容を再整理し、書き切れていなかった点にも踏み込むことができました。物理的にも内容としても厚みのあるものになったと思います。

CISOハンドブック―業務執行のための情報セキュリティ実践ガイド

著作:JNSA CISO支援ワーキンググループ
出版社:技術評論社(2021/1/20)
発売日:2021/1/20
単行本(ソフトカバー):400ページ
ISBN-10:4297118351
ISBN-13:978-4297118358

本書の内容は、セキュリティ実践を学んでいる人なら誰もが理解していることを単に集めただけではないつもりです。「CISOが経営陣の一員として成すべきこと」に焦点をあてた、CISO業務実践のためのガイドです。また、経営陣にとっても「経営陣がCISOと共に成すべきこと」を示す内容にもなっています。

例えば、基本的なセキュリティ対策に加え、一般に技術系の人間が苦手とする経営という意味でのマネジメント、セキュリティ対策の経緯を知り将来を予測するためのインシデント推移も取り上げています。結果として、目次だけで266項目、内容は400ページとなり、読み応えのある書籍に仕上がりました。

完成した書籍を見ると、改めて不十分な点やアップデートをしたい点も見えています。しかし、読者の皆さんがご自身の現場で「CISOが経営陣の一員として成すべきこと」を議論し、早期に実践を進めていくことには貢献できる内容だと考えています。また、セキュリティについて比較的経験の浅いCISOや、CISOを支える担当者が、ご自身の業務を推進するための絵地図としても使っていただきたいと思います。

JNSA CISO支援ワーキンググループは、これからも活動を継続していく予定です。本書の至らない点についても、ワーキンググループとして取り組み、さらに良いものにつなげていきたいと考えています。また、多くの方にワーキンググループに参加いただき、議論を深める機会を広めていきたいと思います。

最後になりますが、多くの専門家の皆さまの知見とアドバイス、また様々な経験と機会を頂きました。執筆陣の力だけでは、ここまでの形にすることはできなかったと思います。ご協力をいただいた皆さまに改めてお礼を申し上げます。

CISOハンドブック 目次

  • 第1章     情報セキュリティの目的
  • 第2章     情報セキュリティマネジメントの基礎知識
  • 第3章     基本となる経営指標
  • 第4章     情報セキュリティの指標化
  • 第5章     モニタリングと評価手法
  • 第6章     情報セキュリティ監査
  • 第7章     情報セキュリティアーキテクチャ
  • 第8章     DXと情報セキュリティ
  • 第9章     クラウドファーストの情報セキュリティ
  • 第10章     情報セキュリティインシデント対応と報告
  • 第11章     製品選定とベンダー選定
  • 第12章     CISOの責務と仕事
  • 第13章     経営陣としてのCISOへの期待
  • Annex A     事業計画策定例
  • Annex B     CISOダッシュボード
  • Annex C     情報セキュリティ対策の標準化と自動化の流れ
  • Annex D     EDC手法を使ったセキュリティ対策効果の試算
  • Annex E     Need to Know 再考
  • Annex F     新型コロナウイルス後のセキュリティ
  • Annex G     セキュリティインシデントの推移
  • Annex H     情報格付け
CISOハンドブック―業務執行のための情報セキュリティ実践ガイド

著作:JNSA CISO支援ワーキンググループ
出版社:技術評論社(2021/1/20)
発売日:2021/1/20
単行本(ソフトカバー):400ページ
ISBN-10:4297118351
ISBN-13:978-4297118358

この記事は役に立ちましたか?

はい いいえ