ビジネスとセキュリティをアップデート–CISOの戦略実践を支える手引き

今回は「ビジネスとセキュリティをアップデート–CISOの戦略実践を支える手引き」についてご紹介します。

関連ワード (経営等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 現在はランサムウェアや不正アクセス、情報漏えいなどのセキュリティインシデントがほぼ毎日ニュースで報じられている。企業や組織は、そうした脅威にさらされながらも、一方で目まぐるしく変化する社会や経済の情勢に対応し、テクノロジーを活用してビジネスを営み、変革を推進していなければならない。「デジタルトランスフォーメーション」(DX)という言葉も身近になった。

 企業や組織には、テクノロジーをビジネスの武器として活用し、同時にサイバーセキュリティを実践してビジネスを守ることが求められている。“矛”と“盾”を同時に駆使しないといけない状況だ。その2つをつなぐ役割が「CISO」(最高情報セキュリティ責任者)となる。CISOの立場が日本に登場してまだ10年にも満たないが、政府や財界からもサイバーセキュリティが経営課題に位置づけられたことで、CISOを設置する企業や組織は着実に増えつつある。

 2018年5月に、当時はまだ新しい立場だったCISOを支援する取り組みとして、日本ネットワーク・セキュリティ協会(JNSA)のCISO支援ワーキンググループ(WG)が、CISOの役割や業務の在り方などを取りまとめた「CISOハンドブック」を公開した。また2021年1月には、同WGがCISOハンドブックの内容をアップデートした「CISOハンドブック――業務執行のための情報セキュリティ実践ガイド」(技術評論社)を刊行している。

 CISOハンドブックでは、「技術出身のCISOが経営を理解する」「管理部門出身のCISOがセキュリティを理解する」ことを目的に、CISOの業務執行に必要なITやセキュリティ対策などのテクノロジーと、経営や組織運営などのマネジメントの両面を網羅的に取り上げている。上述のように、ビジネスとテクノロジーの状況変化のスピードがより加速しており、CISOハンドブックのさらなるアップデート版となる「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」(同)が2023年1月に発行された。

 著者でWGのリーダーを務めるPreferred Networks バイスプレジデント 最高セキュリティ責任者の高橋正和氏は、同書について、「『セキュリティ施策をデバッグする』をテーマに、『P.プロファイル(資料などの収集・整理)』『E.机上演習』『S.事件・事故の公表』『F.フィードバック』の4つの視点からソフトウェア開発におけるウォークスルーのようにセキュリティ施策を確認し、デバッグする手順を体系化したもの」と述べる。

 執筆のきっかけは、WGのメンバーが発した「CISOハンドブックは分った気になるけど、使おうと思うと使えないのだよね」という一言だったそう。これも上述したように、セキュリティインシデントが連日報道される現在においては、CISOに必要な一通りの事柄だけでなく、万一のインシデント対応など、より戦略の実践に踏み込む内容が期待されていたようだ。

 CISOハンドブックをアップデートする上で高橋氏は、フォレンジックといったサイバーセキュリティの具体的な技術やシステムではなく、「誰が事業継続などの判断をすべきか」「何を公表すべきなのか」「被害者にどう対応すべきか」など事業視点に重きを置いたと説明する。ここはまさしく、ビジネス・テクノロジー・セキュリティをつなぐCISOならでは視座だ。同書では、「S.事件・事故の公表」というアウトプットを設定し、経営陣や事業責任者、法務、広報などの社内関係者が同じ土俵で議論できるようになることを目的にしたとのこと。

 「セキュリティ対策を進める上で、ISMS(情報セキュリティマネジメントシステム)に代表される国際的なベストプラクティスが重要な役割を果たしている。しかし、ベストプラクティスの順守が必ずしも適切なセキュリティ施策になっているとは限らず、事業戦略や経営戦略に沿ったものとなっているとも限らない」(高橋氏)

 このメッセージは、CISOではなくても、何らかの形でサイバーセキュリティの実務に携わる人々に実感を伴って受け入れられるだろう。現実の脅威やインシデントが教科書通りにならないのは当然で、CISOをはじめサイバーセキュリティに携わる人々は、現実に向き合いながらリスクの顕在化と脅威がもたらす被害を最小限にとどめることに努力している。セキュリティを預かる人々にとって本書は、そうした現実と実践を重視した最新の手引きとなるだろう。

 本書の執筆は高橋氏が中心だが、これまでのシリーズと同じくWGのメンバーが協力している。刊行に寄せて高橋氏は、「CISO業務に悩んでいる方、WG活動に興味を持っていただいた方、CISOハンドブックや本書に言いたいことがある方は、ぜひWGに参加してほしい。新しいチャレンジをご一緒できると思う」と本書の読者に呼び掛けている。

 繰り返しになるが、現在はビジネスもテクノロジーもサイバーセキュリティも状況の変化は著しい。「何をどうすべきか」もアップデートが大切だ。本書に学び実践し、そして、著者やWG、そしてサイバーセキュリティに携わる全ての人々が協力して、常に最新のセキュリティを実現していけることを期待したい。

元記事: https://japan.zdnet.com/article/35199842/
IT関連 #経営

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
第42回:列伝2人目「後方支援型ひとり情シス」
IT関連
2022-08-26 14:14
KDDIら、自治体向けウェブサイト構築サービスを提供–国交省で導入
IT関連
2022-05-28 00:56
アップル、「iCloud」「iMessage」などのデータ保護を強化へ–3つの新機能
IT関連
2022-12-09 10:41
日銀の「ステルステーパリング」続く–中央銀行は最強のファンドマネージャー?
IT関連
2021-02-04 07:20
富裕層以外の投資家にも道を開くエクイティクラウドファンディングをメインストリームに押し上げたいGumroad
VC / エンジェル
2021-05-18 05:27
内田洋行ら、近畿大のPC教室刷新–「GIGAスクール構想」で得たスキルの活用促進
IT関連
2024-03-24 20:19
長野県中野市、クラウド型の電子契約サービスを導入–持続可能な行財政運営を推進
IT関連
2022-01-22 02:11
DNP、VMware環境で運用する基幹システムを「Oracle Cloud」に移行
IT関連
2022-05-13 14:50
2021年の国内ITサービス市場規模は前年比3.2%増の5兆8713億円。2022年は回復が遅れた分野の反動増が見込まれる。IDC Japan
業界動向 / IoT / その他
2022-03-10 15:59
JavaScriptランタイム「Bun v0.3.0」リリース。メモリ消費量が3分の1以下に、npmパッケージの自動インストールなど
Bun
2022-12-13 06:23
KotlinでAndroid/Web/DesktopアプリのUI開発を統一するフレームワーク「Compose Multiplatform」がアルファ版に
開発ツール / 言語 / プログラミング
2021-08-19 08:16
森永乳業、ERPパッケージの導入で財務会計業務のデジタル化を推進
IT関連
2023-12-14 14:40
みずほ銀、システム障害がトップ人事に波及 経営改革に遅れも
IT関連
2021-03-19 23:29
アップル「M3/M3 Pro/M3 Max」チップまとめ–前世代から大幅に向上した性能
IT関連
2023-11-08 10:12