【書評】CISOハンドブック――業務執行のための情報セキュリティ実践ガイド

高橋 正和
技術評論社
2021/01/18

　セキュリティ関連ですが、技術面やプロダクトではなく、CISOという経営の立場でどう対峙するかという本です。これは良かった。久々に読み返そうと思っています。

　著者はセキュリティ畑を歩んでCIO、CTOなどを経由、MicrosoftからPreferred NetworksでCISOを務めている方です。ある程度セキュリティに関する基礎知識を習得してから読んでいただくことをお勧めします。第1章はセキュリティの目的。CISOの役割とは何か、ビジネスリスクと情報セキュリティ、3つの立場(3線モデル)。これはいいですね。タイトルから想像がつく内容です。COSOフレームワークから抜粋し、リスクコントロール、マネジメント、ギャランティの防衛線を説明しています。

　第2章。セキュリティマネジメントの基礎知識。指標化は非常に参考になります。リスクの評価には可視化と定量化が必要ですが、この定量化が厄介。インシデント事例から金額換算し、インパクトや発生頻度で期待値算出するプロセスがわかりやすく説明されています。EDC法や統計手法は知りませんでした。この本の中で詳細は語られませんが、手法があるということは、セキュリティの投資対効果の算出も可能になるということです。

　第3章。制度会計と管理会計です。セキュリティの本だよね？と思いますが、やはり経営者たるCISOとしては、投資計画やリスクがどこに効いてくるかを数字で考えなければならないということですね。昔セキュリティリスクを引当金としてBS上に見込むべきだという持論展開をしたことがあるのですが、発想の方向性としてはやはりありうる考え方なのかなと思いました。

　第4章。指標化。二章より高度に落とし込んでいきます。このあたりからCISOハンドブックたる内容が出てきますが、KPI/KRI化やバランススコアカードに落とし込んで、リスクを戦略マップとして考えていこうというアプローチになります。ケーススタディはなんか正直ちょっとよくわからなかったな。。。

　第5章。モニタリングと評価手法。これも成熟度指標レベルやレッドチームの手法、TLPTフレームワークなどツールがふんだん。これらを使いこなすにはやはり深い理解と経験が必要ですが、やはり道具があることを知っているのと知らないのでは大きく異なりますね。

　第6章。監査。2回落ちたシステム監査技術者試験を思い出します。特に6－5「CISOは監査報告書を受け取ったら何をすればよいか」は示唆に富む内容でした。そもそもセキュリティに限らず監査に真正面から対峙している人をあまり見かけないのが実情です。目をそらさずに改善を計画・実行し、ポーズでは無く本気でフォローアップをしていくことが大事だと常々感じております。

　第7章。セキュリティアーキテクチャ。情報管理やESA、ゼロトラストなど一般的なセキュリティ教書のような内容も抑えられていますね。まぁここは敢えてこの本でなければ学べないというものではないかと思います。

　第8章DXも同様。ただし、セキュリティがDXのボトルネックにならないように振る舞うべきというのは、個人的には意外で感銘を受けました。ともすればセキュリティが担保できないから改革を実行しないという判断が、世の中ではマジョリティになるかと思います。そうではなく、事業改革としてあるべき姿やビジネススピードを毀損するようなセキュリティはするべきではなく、できる対応の中でより良いベターを探っていくべきという姿勢です。これは経営感覚ある人だなーと思いました。

　第9章～第13章は割愛いたします。ページ数も相対的に少なく、クラウド基盤やベンダー選定時の要点や心構え、インシデント時の振る舞いや他部署・他経営者との連携に関する事項です。

　総じて良い本でした。繰り返しですが技術要素を学ぶ本は多くありますが、セキュリティという観点で経営を語る、経営という観点でセキュリティとどう対峙すべきかを論じている本は初めて出合いました。営業という私の立場からすれば、経営者のセキュリティ投資をどう引き出すかの考え方につながります。エグゼクティブサマリも少し違う視点でまとめて、実務でぶつけてみたいと思います。時間を作って読み直そう。。。