現在はランサムウェアや不正アクセス、情報漏えいなどのセキュリティインシデントがほぼ毎日ニュースで報じられている。企業や組織は、そうした脅威にさらされながらも、一方で目まぐるしく変化する社会や経済の情勢に対応し、テクノロジーを活用してビジネスを営み、変革を推進していなければならない。「デジタルトランスフォーメーション」(DX)という言葉も身近になった。
企業や組織には、テクノロジーをビジネスの武器として活用し、同時にサイバーセキュリティを実践してビジネスを守ることが求められている。“矛”と“盾”を同時に駆使しないといけない状況だ。その2つをつなぐ役割が「CISO」(最高情報セキュリティ責任者)となる。CISOの立場が日本に登場してまだ10年にも満たないが、政府や財界からもサイバーセキュリティが経営課題に位置づけられたことで、CISOを設置する企業や組織は着実に増えつつある。
「CISOハンドブック――業務執行のための情報セキュリティ実践ガイド」(著:高橋正和氏、協力:JNSA CISO支援ワーキンググループ、技術評論社刊)
2018年5月に、当時はまだ新しい立場だったCISOを支援する取り組みとして、日本ネットワーク・セキュリティ協会(JNSA)のCISO支援ワーキンググループ(WG)が、CISOの役割や業務の在り方などを取りまとめた「CISOハンドブック」を公開した。また2021年1月には、同WGがCISOハンドブックの内容をアップデートした「CISOハンドブック――業務執行のための情報セキュリティ実践ガイド」(技術評論社)を刊行している。
CISOハンドブックでは、「技術出身のCISOが経営を理解する」「管理部門出身のCISOがセキュリティを理解する」ことを目的に、CISOの業務執行に必要なITやセキュリティ対策などのテクノロジーと、経営や組織運営などのマネジメントの両面を網羅的に取り上げている。上述のように、ビジネスとテクノロジーの状況変化のスピードがより加速しており、CISOハンドブックのさらなるアップデート版となる「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」(同)が2023年1月に発行された。
著者でWGのリーダーを務めるPreferred Networks バイスプレジデント 最高セキュリティ責任者の高橋正和氏は、同書について、「『セキュリティ施策をデバッグする』をテーマに、『P.プロファイル(資料などの収集・整理)』『E.机上演習』『S.事件・事故の公表』『F.フィードバック』の4つの視点からソフトウェア開発におけるウォークスルーのようにセキュリティ施策を確認し、デバッグする手順を体系化したもの」と述べる。
執筆のきっかけは、WGのメンバーが発した「CISOハンドブックは分った気になるけど、使おうと思うと使えないのだよね」という一言だったそう。これも上述したように、セキュリティインシデントが連日報道される現在においては、CISOに必要な一通りの事柄だけでなく、万一のインシデント対応など、より戦略の実践に踏み込む内容が期待されていたようだ。
CISOハンドブックをアップデートする上で高橋氏は、フォレンジックといったサイバーセキュリティの具体的な技術やシステムではなく、「誰が事業継続などの判断をすべきか」「何を公表すべきなのか」「被害者にどう対応すべきか」など事業視点に重きを置いたと説明する。ここはまさしく、ビジネス・テクノロジー・セキュリティをつなぐCISOならでは視座だ。同書では、「S.事件・事故の公表」というアウトプットを設定し、経営陣や事業責任者、法務、広報などの社内関係者が同じ土俵で議論できるようになることを目的にしたとのこと。
「セキュリティ対策を進める上で、ISMS(情報セキュリティマネジメントシステム)に代表される国際的なベストプラクティスが重要な役割を果たしている。しかし、ベストプラクティスの順守が必ずしも適切なセキュリティ施策になっているとは限らず、事業戦略や経営戦略に沿ったものとなっているとも限らない」(高橋氏)
このメッセージは、CISOではなくても、何らかの形でサイバーセキュリティの実務に携わる人々に実感を伴って受け入れられるだろう。現実の脅威やインシデントが教科書通りにならないのは当然で、CISOをはじめサイバーセキュリティに携わる人々は、現実に向き合いながらリスクの顕在化と脅威がもたらす被害を最小限にとどめることに努力している。セキュリティを預かる人々にとって本書は、そうした現実と実践を重視した最新の手引きとなるだろう。
本書の執筆は高橋氏が中心だが、これまでのシリーズと同じくWGのメンバーが協力している。刊行に寄せて高橋氏は、「CISO業務に悩んでいる方、WG活動に興味を持っていただいた方、CISOハンドブックや本書に言いたいことがある方は、ぜひWGに参加してほしい。新しいチャレンジをご一緒できると思う」と本書の読者に呼び掛けている。
繰り返しになるが、現在はビジネスもテクノロジーもサイバーセキュリティも状況の変化は著しい。「何をどうすべきか」もアップデートが大切だ。本書に学び実践し、そして、著者やWG、そしてサイバーセキュリティに携わる全ての人々が協力して、常に最新のセキュリティを実現していけることを期待したい。