目次
第1章 情報セキュリティの目的 1
- 1-1 CISOの役割とは何か
- 1-2 ビジネスリスクと情報セキュリティ
- 1-3 情報セキュリティリスクにかかわる3つの立場(3線モデル:Three Lines of Defense Model)
第2章 情報セキュリティマネジメントの基礎知識
- 2-1 情報セキュリティマネジメントの基礎知識
- 2-1-1 リスクマネジメント
- 2-1-2 ISO31000リスクマネジメント
- 2-1-3 統計的手法に基づいたリスクの定量化
- 2-1-4 EDC によるリスクの定量化
- 2-1-5 リスクマネジメントを実施するにあたって
- 2-2 情報セキュリティ計画実施モデル
- 2-2-1 情報セキュリティ計画策定のケーススタディ:CISコントロールズの実装
- 2-2-2 CIS コントロールズから始める情報セキュリティ対策
- 2-2-3 侵害を前提としたセキュリティ計画:サイバーセキュリティフレームワーク
- 2-3 経営サイクルと情報セキュリティマネジメントサイクル
- 2-4 マネジメントサイクルに沿った報告
- 2-4-1 年間計画に基づいたPDCA的な報告
- 2-4-2 緊急対応に関するOODA的な報告
- 2-4-3 情報セキュリティと法令順守
- 2-4-4 監査による執行状況の評価
- 2-4-5 情報セキュリティとコーポレートガバナンス
第3章 基本となる経営指標
- 3-1 CISOのための財務諸表の読み方
- 3-2 経営における「数字」の重要性
- 3-3 財務会計49
- 3-4 貸借対照表の見方
- 3-5 短期的な支払い能力の評価
- 3-6 長期的な支払い能力の評価
- 3-7 財務の健全性の評価
- 3-8 管理会計
- 3-8-1 計画する:損益分岐点
- 3-8-2 分割する:セグメントへの分割と評価
- 3-8-3 評価する:規模や内容が異なる事業(セグメント)の評価
- 3-9 財務健全性と投資収益性を比較する
- 3-10 経営指標を現場に展開する(オムロン株式会社の例)
- 3-11 ファイナンス
- 3-11-1 原価主義と時価主義
- 3-12 ファイナンスの基本的な考え方
- 3-13 会社法と資本比率
- 3-13-1 資本比率
- 3-13-2 セキュリティ事故と株価
第4章 情報セキュリティの指標化
- 4-1 情報セキュリティの指標化
- 4-2 コストとしての情報セキュリティ
- 4-2-1 セキュリティ事故の推定損害額
- 4-3 情報セキュリティ指標を経営の数字に展開
- 4-3-1 バランストスコアカードを使ったKPIの展開
- 4-3-2 ケーススタディ:テレワークを題材としたバランストスコアカードの利用例
- 4-3-3 経営における情報セキュリティの役割
- 4-3-4 情報セキュリティに対する役割と責任
第5章 モニタリングと評価手法
- 5-1 モニタリングに基づいた施策の評価
- 5-2 組織情報のセキュリティ成熟度評価
- 5-2-1 Cybersecurity Capability Maturity Model(C2M2)
- 5-2-2 評価対象:機能(ファンクション)100
- 5-2-3 評価ドメイン
- 5-2-4 成熟度指標レベル
- 5-2-5 成熟度評価で参照される規準および標準
- 5-3 実装レベルのモニタリング
- 5-3-1 インベントリの取得と維持
- 5-3-2 脆弱性の把握と不正アクセス検知
- 5-4 サイバー攻撃への対応能力評価
- 5-4-1 攻撃者視点での評価:Red Teaming
- 5-4-2 TLPTフレームワーク
第6章 情報セキュリティ監査
- 6-1 情報セキュリティ監査の目的
- 6-1-1 Cから始めるPDCA
- 6-2 セキュリティ監査の分類と目的
- 6-2-1 「助言型監査」と「保証型監査」
- 6-2-2 ISMS 適合性評価制度とセキュリティ監査
- 6-2-3 第三者によるセキュリティ監査結果の利用
- 6-3 内部監査人の選択方法
- 6-4 外部監査人の選択方法
- 6-5 CISOは監査報告書を受け取ったら何をすれば良いか
- 6-5-1 監査結果の確認とCISO の心得
- 6-5-2 改善計画書の作成
- 6-5-3 フォローアップの必要性
第7章 情報セキュリティアーキテクチャ
- 7-1 アーキテクチャの重要性
- 7-2 情報セキュリティアーキテクチャの基本要素
- 7-2-1 IAAAに基づいたアクセスコントロール
- 7-2-2 情報格付(データクラシフィケーション)
- 7-2-3 権限管理
- 7-2-4 物理的・ネットワーク的なアクセスコントロール
- 7-2-5 統制基盤
- 7-2-6 統合ログ管理
- 7-3 エンタープライズセキュリティアーキテクチャ(ESA)
- 7-3-1 Sherwood Applied Business Security Architecture(SABSA)
- 7-3-2 SABSA を学ぶためのガイド
- 7-3-3 COBIT
- 7-3-4 The Open Group Architecture Framework(TOGAF)
- 7-3-5 TOGAF を学ぶためのガイド
- 7-3-6 Information Technology Infrastructure Library(ITIL)
- 7-4 ゼロトラスト
- 7-5 「トラストがゼロ」の背景
- 7-5-1 技術革新
- 7-5-2 利用形態の変化
- 7-5-3 攻撃手法の変化
- 7-6 ゼロトラストアーキテクチャ
- 7-6-1 リソースのセグメント境界
- 7-6-2 システムリソース
- 7-6-3 アプリケーションリソース
- 7-6-4 リソースに対する最小権限の維持
- 7-6-5 アクセス要求元が使用するシステム
- 7-6-6 アクセス要求元が使用するアプリケーション
- 7-6-7 ゼロトラストの基本原則と前提
- 7-7 ゼロトラストアーキテクチャの論理的構成要素
- 7-7-1 PE(ポリシーエンジン):指定されたリソースへのアクセス許可の最終的な判断を行う
- 7-7-2 PA(ポリシーアドミニストレータ):アクセス要求元とリソースの通信経路の確立・遮断を行う
- 7-7-3 PEP(ポリシー実施ポイント):アクセス要求元とリソースの接続を有効化,監視,終了を行う
- 7-7-4 ゼロトラストアーキテクチャの要素
- 7-8 ゼロトラストアーキテクチャで防げない攻撃
- 7-9 継続的な技術動向の把握
第8章 DXと情報セキュリティ
- 8-1 デジタルトランスフォーメーション(DX)の目的は事業変革
- 8-2 DXとテクノロジー
- 8-3 OODA,アジャイル,DevOpsのアプローチ
- 8-3-1 OODA の適用
- 8-3-2 アジャイルの適用
- 8-3-3 DevOpsの適用
- 8-4 DX のセキュリティ実現において,PDCAをどう使うか
- 8-5 CISOはDXプロジェクトにいかにして貢献するか
- 8-5-1 DXのボトルネックにならない
- 8-5-2 DXの推進につながる働きかけをする
- 8-5-3 リスクプロファイルによりセキュリティもDXする
第9章 クラウドファーストの情報セキュリティ
- 9-1 クラウドファーストへの転換
- 9-2 クラウドサービスの主要なモデルと責任分界点
- 9-3 クラウドサービス選定時の考慮点
- 9-3-1 情報の格付けおよび取扱制限(クラシフィケーション)
- 9-3-2 法令・基準への対応状況を確認する
- 9-3-3 サービス契約と準拠法・裁判管轄
- 9-3-4 クラウドサービスの中断や終了時
- 9-3-5 情報流通経路全般のセキュリティ
- 9-3-6 外部認証,認定を利用した効率的な情報セキュリティ対策実施状況の把握
- 9-3-7 クラウドサービスプロバイダーのコンプライアンス対応:Microsoft社の例
- 9-4 実践的な情報セキュリティ評価
- 9-4-1 European Union Agency for Network and Information Security(ENISA)Cloud Security
- Guide for SMEs
- 9-4-2 クラウドサービスの評価:調査サービスの利用
- 9-5 セキュリティの主要な評価要素
- 9-5-1 ガバナンスとリスクマネジメント
- 9-5-2 アーキテクチャ
- 9-5-3 データセンターセキュリティ
- 9-5-4 事業継続と可用性
- 9-5-5 サプライチェーンの管理,透明性,説明責任195
- 9-5-6 人的セキュリティ
- 9-5-7 アイデンティティとアクセス管理
- 9-5-8 顧客データの取り扱い
- 9-5-9 アプリケーションセキュリティ
- 9-5-10 暗号化
- 9-5-11 ロギング,モニタリング
- 9-5-12 データ連携
- 9-5-13 変更管理と構成管理
- 9-5-14 インシデント管理
- 9-5-15 脆弱性管理
- 9-5-16 モバイルセキュリティ
- 9-6 クラウドサービスをセキュアに利用するために
- 9-6-1 管理機構の利用
- 9-6-2 クラウド間連携とAPI の課題
第10章 情報セキュリティインシデント対応と報告
- 10-1 情報セキュリティインシデントとCSIRTの設置
- 10-2 セキュリティインシデントの推移
- 10-2-1 内部の過失による物理的な保護の破綻
- 10-2-2 内部の過失によるネットワーク的な保護の破綻
- 10-2-3 内部からの攻撃
- 10-2-4 外部からの持続的な攻撃(APT)
- 10-2-5 内部によるシステム的・ネットワーク的な保護の欠如:オンラインストレージ
- 10-2-6 内部によるシステム的な保護の欠如:Webサービスのプラットフォーム
- 10-2-7 外部からの攻撃:リスト型攻撃
- 10-2-8 外部からの攻撃:DDoS事件
- 10-2-9 外部からの攻撃:ランサムウェア
- 10-2-10 外部からの攻撃:ビジネスメール詐欺
- 10-2-11 外部からの攻撃:DNS の乗っ取り
- 10-2-12 サプライチェーンの問題:廃棄ハードディスクの転売事件
- 10-3 新しい領域のインシデント
- 10-3-1 IoT セキュリティ
- 10-3-2 自動車のセキュリティ
- 10-3-3 WannaCry:攻撃者の変化(国家機関の関与)
- 10-3-4 キャッシュレス決済の不正な引き落とし
- 10-3-5 暗号資産に対する攻撃
- 10-3-6 AIセキュリティ
- 10-3-7 SNSを基点とした炎上255
- 10-3-8 SNSアカウントの乗っ取り
- 10-4 脆弱性評価
- 10-4-1 脆弱性の深刻度評価(CVSS)
- 10-4-2 脅威ハンティング(Threat Hunting)
- 10-4-3 製品やサービスベンダーのセキュリティ対応能力
- 10-4-4 脅威インテリジェンスの利用
- 10-4-5 リスクの転移
- 10-4-6 地政学リスク
- 10-4-7 報告されない脆弱性
- 10-5 CTFとインシデント対応演習
- 10-6 インシデントを想定したセキュリティ施策の評価
第11章 製品選定とベンダー選定
- 11-1 ベンダーとの対応方法
- 11-2 セキュリティソリューション検討時の留意点
- 11-3 ベンダー選定時の留意点
- 11-3-1 製品・サービスの開発元
- 11-3-2 販売会社・販売代理店
- 11-3-3 システムインテグレータ
- 11-4 ライフサイクルにおけるベンダー評価
第12章 CISOの責務と仕事
- 12-1 CISOの役割
- 12-2 サイバーセキュリティ経営ガイドライン
- 12-3 米国におけるCISO 像:CISO COMPASSのCISO像
- 12-3-1 CISO の歴史
第13章 経営陣としてのCISOへの期待
- 13-1 CISOの役割と連携
- 13-1-1 コミュニケーションにおける注意事項
- 13-2 経営会議での報告
- 13-3 役職などの名称について
- 13-4 財務会計部門との連携(CFO)
- 13-5 業務部門との連携(COO)
- 13-6 IT部門との連携(CIO)
- 13-7 リスク管理部門との連携(CRO)
- 13-8 総務・人事部門との連携
- 13-9 法務部門との連携
- 13-10 監査部門との連携
- 13-11 広報部門との連携
- 13-12 社外との連携
- 13-13 執行責任者としてのCISO
Annex
- Annex A 事業計画策定例
- A-1 事業計画の位置付け
- A-2 資格制度を導入した場合の試算(サブスクリプション)
- A-3 事業計画1-4の評価
- Annex B CISOダッシュボード
- B-1 CISOダッシュボード
- B-2 情報セキュリティ事故の説明責任
- Annex C 情報セキュリティ対策の標準化と自動化の流れ
- Annex D EDC 手法を使ったセキュリティ対策効果の試算
- D-1 EDC 手法の導入
- D-2 EDC 手法による対策案の最適解算出手順
- D-3 対策リストの策定
- Annex E Need to Know 再考
- E-1 すべての会話と知識を検索可能にする
- Annex F 新型コロナウイルス後のセキュリティ
- F-1 業務形態の変化とCISO に求められる役割
- F-2 セキュリティ対策
- F-3 情報格付けと情報の取り扱い
- F-4 規定とセキュリティポリシー
- F-5 企業活動の基盤としてのコミュニケーション
- F-6 成果の定義と評価
- F-7 企業文化と教育
- Annex G セキュリティインシデントの推移
- G-1 サイバー攻撃の変化と潮流
- G-2 マルウェアの誕生(1990年代以前)
- G-3 インターネットワーム(モリスワーム)
- G-4 Mellisa とメール型ウイルス
- G-5 現実化したDDoS攻撃(2000年前後)
- G-6 日本における省庁Web改ざん(日本のネットワークセキュリティの起点)
- G-7 CodeRedに始まるワーム事件
- G-8 ボットネットとサイバー犯罪
- G-9 標的型攻撃
- G-10 ランサムウェア
- G-11 ビジネスメール詐欺(BEC)
- G-12 攻撃の背景にあるエコシステム(アンダーグラウンドフォーラム)
- G-13 脆弱性報告に対する報償プログラム
- G-14 情報セキュリティ早期警戒パートナーシップ
- G-15 まとめ
- Annex H 情報格付け
- H-1 情報格付け統一基準
- H-2 日本政府における格付け
- H-3 英国政府における格付け
- H-4 日英の違いとそのポイント