📖

【書見記録】 CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ

2023/10/26に公開

はじめに

2023年2月3日発売の書籍「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」を読んだので記録に残す。
本書はCISOや経営者の方向けに書かれた本で、経営の視点からセキュリティインシデントに向き合い、有事に備える策を知るための本である。
「CISO-PRACTICE」というフレームワークを用い、インシデントの机上演習を行う施策や実践手法について詳細に解説されている。
書籍の情報は以下参照。

印象に残った内容

本書を読んで個人的に印象に残った内容を記す。

1.セキュリティと経営

本書全体で言及されているのが「セキュリティと経営」である。「セキュリティは経営課題である」が本書の主題であるため、「事業レベル・経営レベルの課題としてセキュリティの対策をどのように行うか」を本書全体で詳細に解説されている。

また、「第1章 1-1節 経営とセキュリティの鬱憤」では「起きるか分からない事件・事故を想定するコストは無視できないし、対策の必要性はわかるものの、対策を行っても事件・事故の完全防止は不可能なのである」という経営者ならではのジレンマが綴られている。

その他の章や節でも、「他組織の事故報告書はわかりやすいが、自組織が事故・事件に直面した際に同レベルの報告を上げられるのか?と暗い気持ちになる(第2章 章末コラム)」や、「インベントリ(資産管理・構成管理)はセキュリティ施策の基本だが、言うは易く行うは難しの典型(第3章 3-1節)」「事業視点でのリスク評価は財務・業務・顧客への影響という3視点で考えること(第3章 3-2節)」など、経営者が考えるインシデントへの向き合い方や苦悩が随所に書かれていて興味深かった。

2. CISO-PRACTICEとHardeningとの親和性

本書は全7章とAnnex(付録)A~Iから構成されており、第3章~第7章が机上演習の「CISO-PRACTICE」の解説になっている。
「CISO-PRACTICE」では、机上演習の名の通り、セキュリティの事件・事故に関わるイベントを策定し、イベントから成るシナリオに対して評価・対処を考え、インシデント報告書の作成や公表まで行う。
架空のインシデントを机上で考え、発生後の流れを再現することで、現状のセキュリティ施策や責任者の想定が適切かや、今後の改善点は何かを見直すことが狙いである。

この「CISO-PRACTICE」のフレームワークが、先日参加したHardening競技会と大変親和性の高いものになっている。
特に第4章~第5章のインシデントレポート作成・公表・会見といった、インシデントが発生した際の対応は、「ビジネスでセキュリティを衛る」がモットーのHardeningで再現される対応そのものであり、大いに参考になる情報が詰まっている。
第7章冒頭でHARDENING宣言の引用があることからも、インシデントへの対策や堅牢化を実現するために行う施策の数々は繋がっているのだと感じた。

なおAnnex Hの「記者会見を開催する上での留意点」は、普段の業務では中々体験しない(起こらないに越したことはない)出来事だが、Hardeningの競技中に呼び出しイベントが発生した際に活きてくる内容になりそうだと思った。

3.「インシデント」の意味

本編とは別で、p8の「インシデント」という言葉の意味を説明したコラムにて記載された内容が興味深かった。コラム内の以下の説明が特にわかりやすかった。

  • インシデントは「イベント(事象)」「インシデント(事態)」「アクシデント(事件・事故)」で構成される。
  • インシデントハンドリングはイベントを起点に、インシデントであることを判断し、アクシデントを防ぎ、影響を最小化する行為と言える。
  • 「インシデントが起きた」と経営陣に伝えるより、「事故が起きた可能性」と「想定される被害や損害の内容と規模」を伝えたほうが良い。
  • 説明の際に以下のように言い換えるとよいかもしれない。
    • インシデント:事件・事故による被害・損害の可能性
    • アクシデント:事件・事故による被害・損害の発生

つまり、普段「インシデント」と「事故」を結び付けて呼ぶ際は広義の意味で使っているのであり、狭義の意味では「インシデントは可能性、発生したのはアクシデント」のニュアンスなのである。
実際に「インシデント」の言葉の意味を調べると、「出来事、事件、事例、事案、事象、出来事といったことを表す英単語です。それが転じて近年では、何らかの問題が発生してアクシデントになる一歩手前の状況のことをインシデントと呼んでいます。」という解説記事がヒットする。

セキュリティ業界以外、例えば航空業界で「重大インシデント」として扱われる事案は「墜落こそしていないが、一歩間違えば大事故につながった事案」なので、個人的には「インシデント=すでに起こった事故」という意味で使われるのが、今までしっくりきていなかった。
このコラムを読んで言葉の広義・狭義の差異によるものだと腑に落ちた。

雑感

Hardening(H2023G)への参加後、「組織とセキュリティ」について考える時間が増えた。「組織とセキュリティは切っても切れない関係であるが、その関係性や施策を考えるには知識が足らず、どう自身の知識を増やすか」と考えあぐねていた際に、偶然本屋で手に取った本だった。
目次をめくった際にHardening(堅牢化)を強く想起させる内容が記載されていて、「この本はぜひ読みたい!」と思ってその場で買い、読み切った。

読者層はCISOや経営者の方を想定されているが、この本を読むことで「セキュリティは経営の課題であるため、トップが率先して施策を打つことが重要である」「セキュリティは事業継続におけるコストであり、対策面で抱えるジレンマも多い」「技術的対策だけでなく、組織的対策も肝要である」など学びが多かったので、読んでよかった。
ある視点に特化して書かれた本でも、その視点を知るために読むことは大変有益だと感じた。

また今回物理本を手に取って読んだが、物理本の良さを再認識した。通勤中に読んだところ、本の世界に没頭でき、本文176頁を50分ほどでざっと一周読むことができた。
スマホに入れた電子書籍だと、途中で他のアプリを開いたり、読み返す際に頁を繰るのが難しかったりするので、集中しづらい時があった。
これを機に、積読している他の物理本も持ち運んで読んでみようと思う。

最後に

本書を読んで、関連書籍や本書内で言及していたレポートも読みたくなった。
今後読みたい書籍やレポートを以下にまとめる。

■TODO

★印(黒星)は優先度高め。☆印(白星)は記事形式など、読むにあたり所要時間があまりかからなさそうなもの。

■DONE

Discussion