【書見記録】 CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ

はじめに

2023年2月3日発売の書籍「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」を読んだので記録に残す。
本書はCISOや経営者の方向けに書かれた本で、経営の視点からセキュリティインシデントに向き合い、有事に備える策を知るための本である。
「CISO-PRACTICE」というフレームワークを用い、インシデントの机上演習を行う施策や実践手法について詳細に解説されている。
書籍の情報は以下参照。

• 技術評論社リンク：https://gihyo.jp/book/2023/978-4-297-13294-1
• Amazonリンク：https://www.amazon.co.jp/CISOのための情報セキュリティ戦略ーー危機から逆算して攻略せよ-高橋-正和/dp/429713294X

印象に残った内容

本書を読んで個人的に印象に残った内容を記す。

1.セキュリティと経営

本書全体で言及されているのが「セキュリティと経営」である。「セキュリティは経営課題である」が本書の主題であるため、「事業レベル・経営レベルの課題としてセキュリティの対策をどのように行うか」を本書全体で詳細に解説されている。

また、「第1章 1-1節 経営とセキュリティの鬱憤」では「起きるか分からない事件・事故を想定するコストは無視できないし、対策の必要性はわかるものの、対策を行っても事件・事故の完全防止は不可能なのである」という経営者ならではのジレンマが綴られている。

その他の章や節でも、「他組織の事故報告書はわかりやすいが、自組織が事故・事件に直面した際に同レベルの報告を上げられるのか？と暗い気持ちになる（第2章 章末コラム）」や、「インベントリ（資産管理・構成管理）はセキュリティ施策の基本だが、言うは易く行うは難しの典型（第3章 3-1節）」「事業視点でのリスク評価は財務・業務・顧客への影響という３視点で考えること（第3章 3-2節）」など、経営者が考えるインシデントへの向き合い方や苦悩が随所に書かれていて興味深かった。

2. CISO-PRACTICEとHardeningとの親和性

本書は全7章とAnnex（付録）A~Iから構成されており、第3章～第7章が机上演習の「CISO-PRACTICE」の解説になっている。
「CISO-PRACTICE」では、机上演習の名の通り、セキュリティの事件・事故に関わるイベントを策定し、イベントから成るシナリオに対して評価・対処を考え、インシデント報告書の作成や公表まで行う。
架空のインシデントを机上で考え、発生後の流れを再現することで、現状のセキュリティ施策や責任者の想定が適切かや、今後の改善点は何かを見直すことが狙いである。

この「CISO-PRACTICE」のフレームワークが、先日参加したHardening競技会と大変親和性の高いものになっている。
特に第4章～第5章のインシデントレポート作成・公表・会見といった、インシデントが発生した際の対応は、「ビジネスでセキュリティを衛る」がモットーのHardeningで再現される対応そのものであり、大いに参考になる情報が詰まっている。
第7章冒頭でHARDENING宣言の引用があることからも、インシデントへの対策や堅牢化を実現するために行う施策の数々は繋がっているのだと感じた。

なおAnnex Hの「記者会見を開催する上での留意点」は、普段の業務では中々体験しない（起こらないに越したことはない）出来事だが、Hardeningの競技中に呼び出しイベントが発生した際に活きてくる内容になりそうだと思った。

3.「インシデント」の意味

本編とは別で、p8の「インシデント」という言葉の意味を説明したコラムにて記載された内容が興味深かった。コラム内の以下の説明が特にわかりやすかった。

• インシデントは「イベント（事象）」「インシデント（事態）」「アクシデント（事件・事故）」で構成される。
• インシデントハンドリングはイベントを起点に、インシデントであることを判断し、アクシデントを防ぎ、影響を最小化する行為と言える。
• 「インシデントが起きた」と経営陣に伝えるより、「事故が起きた可能性」と「想定される被害や損害の内容と規模」を伝えたほうが良い。
• 説明の際に以下のように言い換えるとよいかもしれない。
  • インシデント：事件・事故による被害・損害の可能性
  • アクシデント：事件・事故による被害・損害の発生

つまり、普段「インシデント」と「事故」を結び付けて呼ぶ際は広義の意味で使っているのであり、狭義の意味では「インシデントは可能性、発生したのはアクシデント」のニュアンスなのである。
実際に「インシデント」の言葉の意味を調べると、「出来事、事件、事例、事案、事象、出来事といったことを表す英単語です。それが転じて近年では、何らかの問題が発生してアクシデントになる一歩手前の状況のことをインシデントと呼んでいます。」という解説記事がヒットする。

セキュリティ業界以外、例えば航空業界で「重大インシデント」として扱われる事案は「墜落こそしていないが、一歩間違えば大事故につながった事案」なので、個人的には「インシデント＝すでに起こった事故」という意味で使われるのが、今までしっくりきていなかった。
このコラムを読んで言葉の広義・狭義の差異によるものだと腑に落ちた。

雑感

Hardening（H2023G）への参加後、「組織とセキュリティ」について考える時間が増えた。「組織とセキュリティは切っても切れない関係であるが、その関係性や施策を考えるには知識が足らず、どう自身の知識を増やすか」と考えあぐねていた際に、偶然本屋で手に取った本だった。
目次をめくった際にHardening（堅牢化）を強く想起させる内容が記載されていて、「この本はぜひ読みたい！」と思ってその場で買い、読み切った。

読者層はCISOや経営者の方を想定されているが、この本を読むことで「セキュリティは経営の課題であるため、トップが率先して施策を打つことが重要である」「セキュリティは事業継続におけるコストであり、対策面で抱えるジレンマも多い」「技術的対策だけでなく、組織的対策も肝要である」など学びが多かったので、読んでよかった。
ある視点に特化して書かれた本でも、その視点を知るために読むことは大変有益だと感じた。

また今回物理本を手に取って読んだが、物理本の良さを再認識した。通勤中に読んだところ、本の世界に没頭でき、本文176頁を50分ほどでざっと一周読むことができた。
スマホに入れた電子書籍だと、途中で他のアプリを開いたり、読み返す際に頁を繰るのが難しかったりするので、集中しづらい時があった。
これを機に、積読している他の物理本も持ち運んで読んでみようと思う。

最後に

本書を読んで、関連書籍や本書内で言及していたレポートも読みたくなった。
今後読みたい書籍やレポートを以下にまとめる。

■TODO

★印（黒星）は優先度高め。☆印（白星）は記事形式など、読むにあたり所要時間があまりかからなさそうなもの。

• ★CISOハンドブック ――業務執行のための情報セキュリティ実践ガイド
  • 本書で繰り返し言及されていた本。2021年1月出版。本書の元になる知識が解説されていると思われる。ぜひ読みたい。
• 2014年 ベネッセにおける個人情報漏えい事案
  • 本書2-2節「セキュリティ事件・事故に関する報告書」の①で紹介。個人情報漏えい事故の中では大きな話題を呼んだ事案。未読のため読みたい。
• 2018年 産総研の情報システムに対する不正アクセス事案
  • 本書2-2節の④で紹介。メールの脆弱なパスワードを起点に不正アクセスを受けた標的型攻撃の事案。未読のため読みたい。
• 2006年 JPCERT/CC:ボットネットの概要～報告書～
  • Annex F-6にて紹介。Agobotを中心に解析を行ったもの。気になるので読みたい。
• その他再読したい報告書
  • 本書2-2節②で紹介されていた「2015年 年金機構における個人情報流出事案」
  • 本書2-2節⑥で紹介されていた「2021年 徳島県つるぎ町立半田病院に対するランサムウェア攻撃事案」

■DONE

• ★2022年 メタップスペイメントに対する不正アクセス事案
  • 本書2-2節の⑦で紹介。決済代行事業者への不正アクセスにより、最大46万件のクレジットカード決済情報が流出した事案。経産省により行政処分が行われた。piyokango氏のまとめ記事あり。徳丸先生のブログでも言及されている。最優先で読みたい。
• ☆2017年 日立グループにおけるWannaCry事案
  • 本書2-2節の③で紹介。言わずと知れたWannaCryの事案。4つの教訓が印象的な記事とのこと。未読のため読みたい。
• ☆2020年 NTTコミュニケーションズに対する不正アクセス事案
  • 本書2-2節の⑤で紹介。海外子会社のシステムを起点とした攻撃の事案。第1報・第2報の記事2件。未読のため読みたい。
• ☆2000年 info on yahoo attack
  • Annex F-6にて紹介。Yahooに対するDDoS攻撃の事案。当時攻撃に対応したエンジニアの投稿とされる記事がある。気になるので見たい。