CISOハンドブック
――業務執行のための情報セキュリティ実践ガイド

[表紙]CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド

B5変形判/400ページ

定価(本体3,400円+税)

ISBN 978-4-297-11835-8

電子版

→学校・法人一括購入ご検討の皆様へ

書籍の概要

この本の概要

企業はDX(デジタルトランスフォーメーション)によって変化しなければならない,しかしIT化すればするほど情報セキュリティの問題が発生! 業者に頼めばいいのか……,いや継続的に情報セキュリティの問題は起きてしまうだろう……。そう,企業がIT化を進めDXを促進すると,情報セキュリティが生命線になることは避けられないのが本当のところです。そこで欧米では技術職の視点をもった経営陣の一人としてCISO(Chief Information Security Officer)の役職が誕生しました。情報セキュリティ問題に悩むあらゆる企業の担当者の皆さんのために,本書はCISOがすべき情報セキュリティの問題解決方法を最新の情報をもとにまとめあげました。

こんな方におすすめ

  • 情報セキュリティ担当者,セキュリティエンジニア,CTO,CIO,CISO,情報システム部担当者など

著者の一言

情報セキュリティ事故が後を絶ちません。事故が報道されると,「担当者は何をやってるんだ」と思う方が多いと思います。経営者を始めとした方々には,情報セキュリティの何が難しいのかわからないかもしれません。しっかりとした国際標準やベストプラクティスがあり,完璧を謳うセキュリティ製品もたくさんあります。セキュリティ対策は簡単に見えるのではないでしょうか。
しかし,この本を手に取ってくれた方,特にCISO(Chief Information Security Officer)と呼ばれるセキュリティ責任者にとっては他人事ではないと思います。
情報セキュリティの難しさは2つの難題と向き合う点にあると考えます。言ってみれば「前門の攻撃者と後門の身内」です。前門の敵である攻撃者と戦うためには,国際標準やベストプラクティスがあり,数多くの情報セキュリティ製品があります。しかし,99%の攻撃を防いでも,たった一度の攻撃を見逃せば,大きな事故につながってしまいます。
一方で,後門の難題である身内はより難しい状況にあります。特に身内の親玉である経営陣と向き合うノウハウが,CISOには絶望的に不足しています。そもそも技術者は経営を学ぶ機会に恵まれません。一般的なマネジメント教育は,いわば庶務管理の教育で,経営という意味でのマネジメントは違います。プロジェクトマネジメントも経営とは違った特性があり,そのまま展開することはできません。
筆者自身,初めて「数字を持つ」事業責任者を経験したときは,経営がわからずに苦しい思いを本書は,情報セキュリティにかかわる方が,CISOとして経営陣に迎えられたときに,経営陣の言葉を理解すること,業務執行の手掛かりとなることを目指しています。難題に見える身内と一緒に,良いゲームを進めるための一歩と言っても良いかもしれません。
ゲームの大枠がわかれば,上手に対応できるのが技術にかかわる人間の特徴です。本書がCISO の方々へのヒントとなり,また,経営にかかわるセキュリティ技術者が増え,セキュリティがビジネスイネーブラーにつながれば幸いに思います。

補足情報

日本ネットワークセキュリティ協会の
Webページ(https://www.jnsa.org/)で最新の情報を発信しています。
JNSA(日本ネットワークセキュリティ協会)では,本書でも取り上げている,「情報セキュリティインシデントに関する調査報告書」,「情報セキュリティインシデントに関する調査報告書」をはじめとして,実践に即した数多くの資料を公開しています。また,イベントなどを通じて,情報セキュリティ対策が広く進展することに貢献に努めています。
ぜひ,資料をご参照いただき,JNSAの活動にも参加ください。

本書のサンプル

本書の紙面イメージは次のとおりです。画像をクリックすることで拡大して確認することができます。

サンプル画像1

サンプル画像2

サンプル画像3

サンプル画像4

サンプル画像5

目次

第1章 情報セキュリティの目的 1

  • 1-1 CISOの役割とは何か
  • 1-2 ビジネスリスクと情報セキュリティ
  • 1-3 情報セキュリティリスクにかかわる3つの立場(3線モデル:Three Lines of Defense Model)

第2章 情報セキュリティマネジメントの基礎知識

  • 2-1 情報セキュリティマネジメントの基礎知識
    • 2-1-1 リスクマネジメント
    • 2-1-2 ISO31000リスクマネジメント
    • 2-1-3 統計的手法に基づいたリスクの定量化
    • 2-1-4 EDC によるリスクの定量化
    • 2-1-5 リスクマネジメントを実施するにあたって
  • 2-2 情報セキュリティ計画実施モデル
    • 2-2-1 情報セキュリティ計画策定のケーススタディ:CISコントロールズの実装
    • 2-2-2 CIS コントロールズから始める情報セキュリティ対策
    • 2-2-3 侵害を前提としたセキュリティ計画:サイバーセキュリティフレームワーク
  • 2-3 経営サイクルと情報セキュリティマネジメントサイクル
  • 2-4 マネジメントサイクルに沿った報告
    • 2-4-1 年間計画に基づいたPDCA的な報告
    • 2-4-2 緊急対応に関するOODA的な報告
    • 2-4-3 情報セキュリティと法令順守
    • 2-4-4 監査による執行状況の評価
    • 2-4-5 情報セキュリティとコーポレートガバナンス

第3章 基本となる経営指標

  • 3-1 CISOのための財務諸表の読み方
  • 3-2 経営における「数字」の重要性
  • 3-3 財務会計49
  • 3-4 貸借対照表の見方
  • 3-5 短期的な支払い能力の評価
  • 3-6 長期的な支払い能力の評価
  • 3-7 財務の健全性の評価
  • 3-8 管理会計
    • 3-8-1 計画する:損益分岐点
    • 3-8-2 分割する:セグメントへの分割と評価
    • 3-8-3 評価する:規模や内容が異なる事業(セグメント)の評価
  • 3-9 財務健全性と投資収益性を比較する
  • 3-10 経営指標を現場に展開する(オムロン株式会社の例)
  • 3-11 ファイナンス
    • 3-11-1 原価主義と時価主義
  • 3-12 ファイナンスの基本的な考え方
  • 3-13 会社法と資本比率
    • 3-13-1 資本比率
    • 3-13-2 セキュリティ事故と株価

第4章 情報セキュリティの指標化

  • 4-1 情報セキュリティの指標化
  • 4-2 コストとしての情報セキュリティ
    • 4-2-1 セキュリティ事故の推定損害額
  • 4-3 情報セキュリティ指標を経営の数字に展開
    • 4-3-1 バランストスコアカードを使ったKPIの展開
    • 4-3-2 ケーススタディ:テレワークを題材としたバランストスコアカードの利用例
    • 4-3-3 経営における情報セキュリティの役割
    • 4-3-4 情報セキュリティに対する役割と責任

第5章 モニタリングと評価手法

  • 5-1 モニタリングに基づいた施策の評価
  • 5-2 組織情報のセキュリティ成熟度評価
    • 5-2-1 Cybersecurity Capability Maturity Model(C2M2)
    • 5-2-2 評価対象:機能(ファンクション)100
    • 5-2-3 評価ドメイン
    • 5-2-4 成熟度指標レベル
    • 5-2-5 成熟度評価で参照される規準および標準
  • 5-3 実装レベルのモニタリング
    • 5-3-1 インベントリの取得と維持
    • 5-3-2 脆弱性の把握と不正アクセス検知
  • 5-4 サイバー攻撃への対応能力評価
    • 5-4-1 攻撃者視点での評価:Red Teaming
    • 5-4-2 TLPTフレームワーク

第6章 情報セキュリティ監査

  • 6-1 情報セキュリティ監査の目的
    • 6-1-1 Cから始めるPDCA
  • 6-2 セキュリティ監査の分類と目的
    • 6-2-1 「助言型監査」と「保証型監査」
    • 6-2-2 ISMS 適合性評価制度とセキュリティ監査
    • 6-2-3 第三者によるセキュリティ監査結果の利用
  • 6-3 内部監査人の選択方法
  • 6-4 外部監査人の選択方法
  • 6-5 CISOは監査報告書を受け取ったら何をすれば良いか
    • 6-5-1 監査結果の確認とCISO の心得
    • 6-5-2 改善計画書の作成
    • 6-5-3 フォローアップの必要性

第7章 情報セキュリティアーキテクチャ

  • 7-1 アーキテクチャの重要性
  • 7-2 情報セキュリティアーキテクチャの基本要素
    • 7-2-1 IAAAに基づいたアクセスコントロール
    • 7-2-2 情報格付(データクラシフィケーション)
    • 7-2-3 権限管理
    • 7-2-4 物理的・ネットワーク的なアクセスコントロール
    • 7-2-5 統制基盤
    • 7-2-6 統合ログ管理
  • 7-3 エンタープライズセキュリティアーキテクチャ(ESA)
    • 7-3-1 Sherwood Applied Business Security Architecture(SABSA)
    • 7-3-2 SABSA を学ぶためのガイド
    • 7-3-3 COBIT
    • 7-3-4 The Open Group Architecture Framework(TOGAF)
    • 7-3-5 TOGAF を学ぶためのガイド
    • 7-3-6 Information Technology Infrastructure Library(ITIL)
  • 7-4 ゼロトラスト
  • 7-5 「トラストがゼロ」の背景
    • 7-5-1 技術革新
    • 7-5-2 利用形態の変化
    • 7-5-3 攻撃手法の変化
  • 7-6 ゼロトラストアーキテクチャ
    • 7-6-1 リソースのセグメント境界
    • 7-6-2 システムリソース
    • 7-6-3 アプリケーションリソース
    • 7-6-4 リソースに対する最小権限の維持
    • 7-6-5 アクセス要求元が使用するシステム
    • 7-6-6 アクセス要求元が使用するアプリケーション
    • 7-6-7 ゼロトラストの基本原則と前提
  • 7-7 ゼロトラストアーキテクチャの論理的構成要素
    • 7-7-1 PE(ポリシーエンジン):指定されたリソースへのアクセス許可の最終的な判断を行う
    • 7-7-2 PA(ポリシーアドミニストレータ):アクセス要求元とリソースの通信経路の確立・遮断を行う
    • 7-7-3 PEP(ポリシー実施ポイント):アクセス要求元とリソースの接続を有効化,監視,終了を行う
    • 7-7-4 ゼロトラストアーキテクチャの要素
  • 7-8 ゼロトラストアーキテクチャで防げない攻撃
  • 7-9 継続的な技術動向の把握

第8章 DXと情報セキュリティ

  • 8-1 デジタルトランスフォーメーション(DX)の目的は事業変革
  • 8-2 DXとテクノロジー
  • 8-3 OODA,アジャイル,DevOpsのアプローチ
    • 8-3-1 OODA の適用
    • 8-3-2 アジャイルの適用
    • 8-3-3 DevOpsの適用
  • 8-4 DX のセキュリティ実現において,PDCAをどう使うか
  • 8-5 CISOはDXプロジェクトにいかにして貢献するか
    • 8-5-1 DXのボトルネックにならない
    • 8-5-2 DXの推進につながる働きかけをする
    • 8-5-3 リスクプロファイルによりセキュリティもDXする

第9章 クラウドファーストの情報セキュリティ

  • 9-1 クラウドファーストへの転換
  • 9-2 クラウドサービスの主要なモデルと責任分界点
  • 9-3 クラウドサービス選定時の考慮点
    • 9-3-1 情報の格付けおよび取扱制限(クラシフィケーション)
    • 9-3-2 法令・基準への対応状況を確認する
    • 9-3-3 サービス契約と準拠法・裁判管轄
    • 9-3-4 クラウドサービスの中断や終了時
    • 9-3-5 情報流通経路全般のセキュリティ
    • 9-3-6 外部認証,認定を利用した効率的な情報セキュリティ対策実施状況の把握
    • 9-3-7 クラウドサービスプロバイダーのコンプライアンス対応:Microsoft社の例
  • 9-4 実践的な情報セキュリティ評価
    • 9-4-1 European Union Agency for Network and Information Security(ENISA)Cloud Security
    • Guide for SMEs
    • 9-4-2 クラウドサービスの評価:調査サービスの利用
  • 9-5 セキュリティの主要な評価要素
    • 9-5-1 ガバナンスとリスクマネジメント
    • 9-5-2 アーキテクチャ
    • 9-5-3 データセンターセキュリティ
    • 9-5-4 事業継続と可用性
    • 9-5-5 サプライチェーンの管理,透明性,説明責任195
    • 9-5-6 人的セキュリティ
    • 9-5-7 アイデンティティとアクセス管理
    • 9-5-8 顧客データの取り扱い
    • 9-5-9 アプリケーションセキュリティ
    • 9-5-10 暗号化
    • 9-5-11 ロギング,モニタリング
    • 9-5-12 データ連携
    • 9-5-13 変更管理と構成管理
    • 9-5-14 インシデント管理
    • 9-5-15 脆弱性管理
    • 9-5-16 モバイルセキュリティ
  • 9-6 クラウドサービスをセキュアに利用するために
    • 9-6-1 管理機構の利用
    • 9-6-2 クラウド間連携とAPI の課題

第10章 情報セキュリティインシデント対応と報告

  • 10-1 情報セキュリティインシデントとCSIRTの設置
  • 10-2 セキュリティインシデントの推移
    • 10-2-1 内部の過失による物理的な保護の破綻
    • 10-2-2 内部の過失によるネットワーク的な保護の破綻
    • 10-2-3 内部からの攻撃
    • 10-2-4 外部からの持続的な攻撃(APT)
    • 10-2-5 内部によるシステム的・ネットワーク的な保護の欠如:オンラインストレージ
    • 10-2-6 内部によるシステム的な保護の欠如:Webサービスのプラットフォーム
    • 10-2-7 外部からの攻撃:リスト型攻撃
    • 10-2-8 外部からの攻撃:DDoS事件
    • 10-2-9 外部からの攻撃:ランサムウェア
    • 10-2-10 外部からの攻撃:ビジネスメール詐欺
    • 10-2-11 外部からの攻撃:DNS の乗っ取り
    • 10-2-12 サプライチェーンの問題:廃棄ハードディスクの転売事件
  • 10-3 新しい領域のインシデント
    • 10-3-1 IoT セキュリティ
    • 10-3-2 自動車のセキュリティ
    • 10-3-3 WannaCry:攻撃者の変化(国家機関の関与)
    • 10-3-4 キャッシュレス決済の不正な引き落とし
    • 10-3-5 暗号資産に対する攻撃
    • 10-3-6 AIセキュリティ
    • 10-3-7 SNSを基点とした炎上255
    • 10-3-8 SNSアカウントの乗っ取り
  • 10-4 脆弱性評価
    • 10-4-1 脆弱性の深刻度評価(CVSS)
    • 10-4-2 脅威ハンティング(Threat Hunting)
    • 10-4-3 製品やサービスベンダーのセキュリティ対応能力
    • 10-4-4 脅威インテリジェンスの利用
    • 10-4-5 リスクの転移
    • 10-4-6 地政学リスク
    • 10-4-7 報告されない脆弱性
  • 10-5 CTFとインシデント対応演習
  • 10-6 インシデントを想定したセキュリティ施策の評価

第11章 製品選定とベンダー選定

  • 11-1 ベンダーとの対応方法
  • 11-2 セキュリティソリューション検討時の留意点
  • 11-3 ベンダー選定時の留意点
    • 11-3-1 製品・サービスの開発元
    • 11-3-2 販売会社・販売代理店
    • 11-3-3 システムインテグレータ
  • 11-4 ライフサイクルにおけるベンダー評価

第12章 CISOの責務と仕事

  • 12-1 CISOの役割
  • 12-2 サイバーセキュリティ経営ガイドライン
  • 12-3 米国におけるCISO 像:CISO COMPASSのCISO像
    • 12-3-1 CISO の歴史

第13章 経営陣としてのCISOへの期待

  • 13-1 CISOの役割と連携
    • 13-1-1 コミュニケーションにおける注意事項
  • 13-2 経営会議での報告
  • 13-3 役職などの名称について
  • 13-4 財務会計部門との連携(CFO)
  • 13-5 業務部門との連携(COO)
  • 13-6 IT部門との連携(CIO)
  • 13-7 リスク管理部門との連携(CRO)
  • 13-8 総務・人事部門との連携
  • 13-9 法務部門との連携
  • 13-10 監査部門との連携
  • 13-11 広報部門との連携
  • 13-12 社外との連携
  • 13-13 執行責任者としてのCISO

Annex

  • Annex A 事業計画策定例
    • A-1 事業計画の位置付け
    • A-2 資格制度を導入した場合の試算(サブスクリプション)
    • A-3 事業計画1-4の評価
  • Annex B CISOダッシュボード
    • B-1 CISOダッシュボード
    • B-2 情報セキュリティ事故の説明責任
  • Annex C 情報セキュリティ対策の標準化と自動化の流れ
  • Annex D EDC 手法を使ったセキュリティ対策効果の試算
    • D-1 EDC 手法の導入
    • D-2 EDC 手法による対策案の最適解算出手順
    • D-3 対策リストの策定
  • Annex E Need to Know 再考
    • E-1 すべての会話と知識を検索可能にする
  • Annex F 新型コロナウイルス後のセキュリティ
    • F-1 業務形態の変化とCISO に求められる役割
    • F-2 セキュリティ対策
    • F-3 情報格付けと情報の取り扱い
    • F-4 規定とセキュリティポリシー
    • F-5 企業活動の基盤としてのコミュニケーション
    • F-6 成果の定義と評価
    • F-7 企業文化と教育
  • Annex G セキュリティインシデントの推移
    • G-1 サイバー攻撃の変化と潮流
    • G-2 マルウェアの誕生(1990年代以前)
    • G-3 インターネットワーム(モリスワーム)
    • G-4 Mellisa とメール型ウイルス
    • G-5 現実化したDDoS攻撃(2000年前後)
    • G-6 日本における省庁Web改ざん(日本のネットワークセキュリティの起点)
    • G-7 CodeRedに始まるワーム事件
    • G-8 ボットネットとサイバー犯罪
    • G-9 標的型攻撃
    • G-10 ランサムウェア
    • G-11 ビジネスメール詐欺(BEC)
    • G-12 攻撃の背景にあるエコシステム(アンダーグラウンドフォーラム)
    • G-13 脆弱性報告に対する報償プログラム
    • G-14 情報セキュリティ早期警戒パートナーシップ
    • G-15 まとめ
  • Annex H 情報格付け
    • H-1 情報格付け統一基準
    • H-2 日本政府における格付け
    • H-3 英国政府における格付け
    • H-4 日英の違いとそのポイント