ビジネスとセキュリティをアップデート–CISOの戦略実践を支える手引き

今回は「ビジネスとセキュリティをアップデート–CISOの戦略実践を支える手引き」についてご紹介します。

関連ワード (経営等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 現在はランサムウェアや不正アクセス、情報漏えいなどのセキュリティインシデントがほぼ毎日ニュースで報じられている。企業や組織は、そうした脅威にさらされながらも、一方で目まぐるしく変化する社会や経済の情勢に対応し、テクノロジーを活用してビジネスを営み、変革を推進していなければならない。「デジタルトランスフォーメーション」(DX)という言葉も身近になった。

 企業や組織には、テクノロジーをビジネスの武器として活用し、同時にサイバーセキュリティを実践してビジネスを守ることが求められている。“矛”と“盾”を同時に駆使しないといけない状況だ。その2つをつなぐ役割が「CISO」(最高情報セキュリティ責任者)となる。CISOの立場が日本に登場してまだ10年にも満たないが、政府や財界からもサイバーセキュリティが経営課題に位置づけられたことで、CISOを設置する企業や組織は着実に増えつつある。

 2018年5月に、当時はまだ新しい立場だったCISOを支援する取り組みとして、日本ネットワーク・セキュリティ協会(JNSA)のCISO支援ワーキンググループ(WG)が、CISOの役割や業務の在り方などを取りまとめた「CISOハンドブック」を公開した。また2021年1月には、同WGがCISOハンドブックの内容をアップデートした「CISOハンドブック――業務執行のための情報セキュリティ実践ガイド」(技術評論社)を刊行している。

 CISOハンドブックでは、「技術出身のCISOが経営を理解する」「管理部門出身のCISOがセキュリティを理解する」ことを目的に、CISOの業務執行に必要なITやセキュリティ対策などのテクノロジーと、経営や組織運営などのマネジメントの両面を網羅的に取り上げている。上述のように、ビジネスとテクノロジーの状況変化のスピードがより加速しており、CISOハンドブックのさらなるアップデート版となる「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」(同)が2023年1月に発行された。

 著者でWGのリーダーを務めるPreferred Networks バイスプレジデント 最高セキュリティ責任者の高橋正和氏は、同書について、「『セキュリティ施策をデバッグする』をテーマに、『P.プロファイル(資料などの収集・整理)』『E.机上演習』『S.事件・事故の公表』『F.フィードバック』の4つの視点からソフトウェア開発におけるウォークスルーのようにセキュリティ施策を確認し、デバッグする手順を体系化したもの」と述べる。

 執筆のきっかけは、WGのメンバーが発した「CISOハンドブックは分った気になるけど、使おうと思うと使えないのだよね」という一言だったそう。これも上述したように、セキュリティインシデントが連日報道される現在においては、CISOに必要な一通りの事柄だけでなく、万一のインシデント対応など、より戦略の実践に踏み込む内容が期待されていたようだ。

 CISOハンドブックをアップデートする上で高橋氏は、フォレンジックといったサイバーセキュリティの具体的な技術やシステムではなく、「誰が事業継続などの判断をすべきか」「何を公表すべきなのか」「被害者にどう対応すべきか」など事業視点に重きを置いたと説明する。ここはまさしく、ビジネス・テクノロジー・セキュリティをつなぐCISOならでは視座だ。同書では、「S.事件・事故の公表」というアウトプットを設定し、経営陣や事業責任者、法務、広報などの社内関係者が同じ土俵で議論できるようになることを目的にしたとのこと。

 「セキュリティ対策を進める上で、ISMS(情報セキュリティマネジメントシステム)に代表される国際的なベストプラクティスが重要な役割を果たしている。しかし、ベストプラクティスの順守が必ずしも適切なセキュリティ施策になっているとは限らず、事業戦略や経営戦略に沿ったものとなっているとも限らない」(高橋氏)

 このメッセージは、CISOではなくても、何らかの形でサイバーセキュリティの実務に携わる人々に実感を伴って受け入れられるだろう。現実の脅威やインシデントが教科書通りにならないのは当然で、CISOをはじめサイバーセキュリティに携わる人々は、現実に向き合いながらリスクの顕在化と脅威がもたらす被害を最小限にとどめることに努力している。セキュリティを預かる人々にとって本書は、そうした現実と実践を重視した最新の手引きとなるだろう。

 本書の執筆は高橋氏が中心だが、これまでのシリーズと同じくWGのメンバーが協力している。刊行に寄せて高橋氏は、「CISO業務に悩んでいる方、WG活動に興味を持っていただいた方、CISOハンドブックや本書に言いたいことがある方は、ぜひWGに参加してほしい。新しいチャレンジをご一緒できると思う」と本書の読者に呼び掛けている。

 繰り返しになるが、現在はビジネスもテクノロジーもサイバーセキュリティも状況の変化は著しい。「何をどうすべきか」もアップデートが大切だ。本書に学び実践し、そして、著者やWG、そしてサイバーセキュリティに携わる全ての人々が協力して、常に最新のセキュリティを実現していけることを期待したい。

元記事: https://japan.zdnet.com/article/35199842/
IT関連 #経営

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
Linuxが「M1搭載Mac miniで完全に使えるように」とCorelliumが発表
IT関連
2021-01-22 19:14
楽天モバイル、ソフトバンクによる提訴に争う姿勢
企業・業界動向
2021-05-07 23:50
JAMスタックのNetlify、Denoを採用したサーバレス環境「Netlify Edge Functions」ベータ公開。Deno Deployの分散エッジでNext.js/Nuxt/SvelteKit/Remixなど実行
Deno
2022-04-21 03:09
電子部品のローツェ、HCIで年900万円相当の運用コストを削減
IT関連
2022-06-23 02:55
[速報]マイクロソフト、独自設計のAIチップ「Azure Maia」発表。AIの学習と推論に最適化。Ignite 2023
Microsoft
2023-11-16 14:39
「Snowflake Data Superheroes」選出の3人がデータ活用事例を披露
IT関連
2023-03-29 14:01
開けると泡が自然発生する缶ビール、販売2日で出荷中止 商品供給追い付かず 
くらテク
2021-04-09 17:39
AI競争で真の勝者は米国か、中国か、欧州か
IT関連
2021-02-17 05:29
TDK、無線通信対応のエッジAIシステムを発表
IT関連
2024-04-18 14:31
ソニー初、LDAC対応の完全ワイヤレスイヤフォン発売 イヤーチップはフォームタイプに
くらテク
2021-06-10 18:47
3万以上のテレビ番組と映画2500本が楽しめる動画配信サービスParamount+は広告付きで月額約530円
ネットサービス
2021-02-27 02:34
写真の手前に映りこむ“邪魔もの”を消し去る技術 台湾大学やGoogleなどが開発 :Innovative Tech
イラスト・デザイン
2021-03-23 22:49
在宅勤務で人気のドキュメントスキャナーScanSnapに新モデルiX1600登場、有線接続で安価なiX1400もラインアップ
ハードウェア
2021-01-20 08:56
「SuiteWorld」で発表の新機能、国内提供へ–ネットスイート創業者・ゴールドバーグ氏登壇
IT関連
2024-07-20 21:59