世界とつながる独学多言語ブログ|ピアーズジャパン

PEERS JAPAN

情報セキュリティ

『CISOハンドブック』CISOに限らず情報セキュリティ業務に関わる全ての人の必読書

投稿日:

目次

『CISOハンドブックー業務執行のための情報セキュリティ実践ガイド』という400P弱ある分厚い本はこれからCISOになる人やCISOを目指す人にとっては必読書といってよい内容です。ISMSに特化している等といった情報セキュリティのある分野に特化した専門書ではなく、CISOがやるべきこと、知っておくべきことが網羅的に書かれたCISOの参考書になります。

 

 

『CISOハンドブックー業務執行のための情報セキュリティ実践ガイド』

2021年2月2日 初版 第1刷発行

著者 高橋正和、荒木粧子、池上美千代、岡田良太郎、唐沢勇輔、

        北澤麻理子、武田一城、橘喜胤、田中朗、西尾秀一、

        深谷貴宣、JNSA CISO支援ワーキンググループ

発行者 片岡巌

発行所 株式会社技術評論社

 

 

 

 

 

 

 

 

 

『CISOハンドブックー業務執行のための情報セキュリティ実践ガイド』を見ると、CISOとして知っておくべき内容というのは、情報セキュリティの知識(マネジメント、CSIRT、製品選定、最新の業界動向などなど)のみならず、経営の知識、ファイナンスの知識、法律の知識も必要であることがわかります。外資系企業においては英語も当然必須になります。

 

以下にCISOハンドブックの章立てと、各章で紹介されているこのサイトだけは見ておきたいと考える参考資料(URL)を記載します。

 

 

第1章 情報セキュリティの目的

CISOの役割等について書かれています。必要なのはビジネス視点であり、情報資産の保護や情報資産の洗い出しもビジネスの視点で資産価値を評価し、対策を策定します。

 

★IPA (2021)重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版

https://www.ipa.go.jp/security/publications/nist/

 

デロイトトーマツグループ(2021)企業のリスクマネジメントおよびクライシスマネジメント実態調査2020年版 

※本書は2018年版が紹介されていますが最新版がありましたので掲載します。

https://www2.deloitte.com/content/dam/Deloitte/jp/Documents/about-deloitte/news-releases/jp-nr-nr20210302-report-japan.pdf

 

★IIA(2015)The three lines of defence

https://www.iia.org.uk/policy-and-research/position-papers/the-three-lines-of-defence/

 

★ PwCあらた有限責任監査法人 (2017)3つのディフェンスライン

https://www.pwc.com/jp/ja/knowledge/column/viewpoint/grc-column001.html

 

 

第2章 情報セキュリティマネジメントの基礎知識

「リスクマネジメント」、「情報セキュリティ計画実施モデル」、「マネジメントサイクルに沿った報告」について書かれています。

 

JNSA(2018)経営者のための情報セキュリティ対策―ISO31000から組織状況の確定の事例―

https://www.jnsa.org/result/2018/west_tebiki/

 

★SC Madia(2020)Union Pacific tracks cyber risk via its own probability modeling methodology

https://www.scmagazine.com/infosec-world-2020/

 

★SANS-Japan,CIS Controls

https://www.sans-japan.jp/cis_controls

 

★Center for Internet Security,Download the CIS Controls

https://learn.cisecurity.org/control-download

 

★NISC、サイバーセキュリティ関係法令Q&A

https://www.nisc.go.jp/security-site/law_handbook/

 

★デロイトトーマツグループ、COSO内部統制のフレームワーク

https://www2.deloitte.com/jp/ja/pages/risk/articles/rm/coso.html

 

 

第3章 基本となる経営指標

財務諸表の読み方、財務会計、管理会計等数字の重要性について書かれています。

 

★株式会社FUNBOOK、経営者が知っておきたい支配権や承継方法

https://fundbook.co.jp/management-rights/

 

★JCIC、取締役会で議論するためのサイバーリスクの数値化モデル

https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_keiei/003.html

※資料4

 

 

第4章 情報セキュリティの指標化

指標化の例として、「情報セキュリティ事故の損害額の調査」、「バランストスコアカードを使った情報セキュリティ施策の指標化」が書かれています。

 

★JNSA、2018年 情報セキュリティインシデントに関する調査報告書及び別紙

https://www.jnsa.org/result/incident/2018.html

 

★会計検査研究、わが国の公的機関における効率性と有効性の必要性

https://www.jbaudit.go.jp/koryu/study/mag/index31-40.html

※第36号(2007年9月発行)

 

★IPA、サイバーセキュリティ経営ガイドライン解説書

https://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html

 

 

第5章 モニタリングと評価手法

情報セキュリティ計画の全般的な評価を行うための指標として「Cybersecurity Capability Maturity Model(C2M2)」、より技術的で具体的なモニタリング項目として「CISコントロール」、攻撃者視点で評価する「Red TeamingとThread-led Penetration Test(TLPT)」が書かれています。

 

★米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートの公開

https://www.ipa.go.jp/security/controlsystem/usenergy.html

 

★金融庁、諸外国の「脅威ベースのペネトレーションテスト(TLPT)」に関する報告書の公表について

https://www.fsa.go.jp/common/about/research/20180516.html

 

★金融庁、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」

https://www.fsa.go.jp/news/30/20181019-cyber.html

 

 

第6章 情報セキュリティ監査

情報セキュリティ監査の目的とCISOの立場からどのように進めていくかについて書かれています。

 

★日本監査役協会、日本監査役協会での講演(平成24年11月26日及び11月29日)

https://www.fsa.go.jp/cpaaob/sonota/kouen/20121126-1129.html

 

★クラウドセキュリティ推進協議会

https://jcispa.jasa.jp/

 

★情報セキュリティ内部監査人能力認定制度

https://www.jasa.jp/qiseia/

 

★情報セキュリティサービス基準適合サービスリストの公開

https://www.ipa.go.jp/security/it-service/service_list.html

 

 

第7章 情報セキュリティアーキテクチャ

自社で情報セキュリティアーキテクチャを構築するための考え方「情報セキュリティアーキテクチャの基本要素」「エンタープライズセキュリティアーキテクチャ(ESA)」「ゼロトラストアーキテクチャ」について書かれています。

 

★SABSA、White Paper Requests

https://sabsa.org/white-paper-requests/

 

★ISACA、COBIT 2019の概要

https://www.isaca.gr.jp/standard/img/cobit_20191028.pdf

 

★日本ITガバナンス協会、COBIT 2019の紹介

https://www.itgi.jp/index.php/cobit2019/introduction

 

★オープン・グループ・ジャパン、TOGAF 標準

https://opengroup.or.jp/togaf.html

※TOGAF=The Open Group Architecture Frameworkの略称

 

★NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html

※NIST Special Publication 800-207 Zero Trust Archtectureの日本語訳を掲載

 

★JPCERT/CC、ログを活用したActive Directoryに対する攻撃の検知と対策

https://www.jpcert.or.jp/research/AD.html

 

 

第8章 DXと情報セキュリティ

OODA/アジャイル/DevOps各適用について、CISOとしてDXプロジェクトにどう貢献していくかについて書かれています。

 

URLは特になし

 

 

第9章 クラウドファーストの情報セキュリティ

クラウドサービスの主要なモデルや選定時の考慮点等について書かれています。

 

政府機関等の対策基準策定のためのガイドライン(平成30年度版)

https://www.nisc.go.jp/active/general/pdf/guide30.pdf

 

★Microsoft compliance offerings

https://docs.microsoft.com/en-us/compliance/regulatory/offering-home

 

★ENISA、Cloud Security Guide for SMEs

https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes

 

★IPA、欧州ENISAのクラウドのセキュリティに関するガイドラインの翻訳

https://www.ipa.go.jp/security/publications/enisa/cloudsecurityguide.html

情報セキュリティ確保のためのフレームワーク参照

 

★JNSA、MY CISO ハンドブック

https://www.jnsa.org/result/2019/act_ciso/

 

★CSA、Cloud Controls Matrix v3.0.1

https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v3-0-1/

※現時点でv4が出ているようです。

 

★CSA、Consensus Assessment Initiative Questionnaire (CAIQ) v3.1

https://cloudsecurityalliance.org/artifacts/consensus-assessments-initiative-questionnaire-v3-1/

 

★経済産業省、情報セキュリティガバナンスの概念

https://www.meti.go.jp/policy/netsecurity/secgov-concept.html

 

★個人情報保護委員会、「個人情報の保護に関する法律についてのガイドライン」及び 「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&A

https://www.ppc.go.jp/personalinfo/faq/2009_APPI_QA/

 

★総務省/経済産業省、電子政府における調達のために参照すべき暗号のリストCRYPTREC暗号リスト)

https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r4.pdf

https://www.cryptrec.go.jp/list/cryptrec-ls-0001-2012r6.pdf

※現時点でr6が出ているようです。

 

★servicenow、Instance Security Center

https://docs.servicenow.com/bundle/paris-platform-administration/page/administer/security/concept/instance-security-center.html

 

<クラウドサービス調査会社>

◆ecurityscorecard

https://securityscorecard.com/

 

◆bitsight

https://www.bitsight.com/

 

◆riskrecon

https://www.riskrecon.com/

 

 

第10章 情報セキュリティインシデント対応と報告

CSIRTの設置と監督について書かれています。

 

★IPA、コンピュータセキュリティインシデント対応ガイド

https://www.ipa.go.jp/security/publications/nist/documents/SP800-61-rev1-J.pdf

 

★高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて

https://www.jpcert.or.jp/research/apt-guide.html

 

★日本産業標準調査会、JIS検索

https://www.jisc.go.jp/app/jis/general/GnrJISSearch.html

 

★ベライゾンジャパン、2021年データ漏洩/侵害調査報告書

https://www.verizon.com/business/ja-jp/resources/reports/dbir/

 

★STOP!! パスワード使い回し!!パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ

https://www.jpcert.or.jp/pr/2014/pr140004.html

 

★U.S.FBI、Incidents of Ransomware on the Rise

https://www.fbi.gov/news/stories/incidents-of-ransomware-on-the-rise

 

★U.S.FBI、High-Impact Ransomware Attacks Threaten U.S. Businesses And Organizations

https://www.ic3.gov/Media/Y2019/PSA191002

 

★IPA、ビジネスメール詐欺「BEC」に関する事例と注意喚起(続報)

https://www.ipa.go.jp/files/000068781.pdf

※ Business E-mail Compromise: BEC

 

★JPCERT/CC、ビジネスメール詐欺の実態調査報告書

https://www.jpcert.or.jp/research/BEC-survey.html

 

★SANS Institute、CIS Controls v8

https://www.sans.org/blog/cis-controls-v8/

 

★デジタルフォレンジック研究会、データ消去に関する海外規格の動向

https://digitalforensic.jp/wp-content/uploads/2016/02/standards.pdf

 

MITRE、MITRE ATT&CK: Design and Philosophy

https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf

 

★エヌ・ティ・ティ・データ先端技術株式会社、MITRE ATT&CK その1 ~概要~

https://www.intellilink.co.jp/column/security/2020/060200.aspx

 

★総務省、CT化の進展がもたらす経済構造の変化 第2部 ICTが拓く未来社会ー第4節 ICT化の進展がもたらす経済構造の変化

https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h27/html/nc254000.html

 

★IoTセキュリティガイド標準/ガイドラインハンドブック2017年度版

https://www.jnsa.org/result/iot/2018.html

 

経済産業省キャッシュレス・ビジョン

https://www.meti.go.jp/press/2018/04/20180411001/20180411001-1.pdf

 

★Twitter、An update on our security incident

https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident

 

★IPA、共通脆弱性評価システムCVSS概説

https://www.ipa.go.jp/security/vuln/CVSS.html

 

★IPA、脅威情報構造化記述形式STIX概説

https://www.ipa.go.jp/security/vuln/STIX.html

 

★IPA、検知指標情報自動交換手順TAXII概説

https://www.ipa.go.jp/security/vuln/TAXII.html

 

★PwC Japanグループ、地政学リスクに対する日本企業の意識と対応実態調査「地政学リスクと企業経営」

https://www.pwc.com/jp/ja/knowledge/thoughtleadership/geopoliticalrisk-and-corporatemanagement1905.html

 

 

第11章 製品選定とベンダー選定

ベンダーとの対応方法、選定時の留意点等について書かれています。

 

URLは特になし

 

 

第12章 CISOの責務と仕事

サイバーセキュリティ経営ガイドライン、米国におけるCISO像について書かれています。

 

★IPA、「CISO等セキュリティ推進者の経営・事業に関する役割調査」報告書について

https://www.ipa.go.jp/security/fy29/reports/ciso/index.html

 

★経済産業省、サイバーセキュリティ経営ガイドライン

https://www.meti.go.jp/policy/netsecurity/mng_guide.html

 

★サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版

https://www.ipa.go.jp/security/fy30/reports/ciso/index.html

 

CISO COMPASS(書籍)

 

 

第13章 経営陣としてのCISOへの期待

CISOとしての各部門との連携とコミュニケーションにおける注意事項について書かれています。

 

★csoonline、The CISO's guide to securely handling layoffs

https://www.csoonline.com/article/3543217/the-cisos-guide-to-securely-handling-layoffs.html

 

★EU一般データ保護規則(仮訳)について

https://www.jipdec.or.jp/library/archives/gdpr.html

 

★EU 一般データ保護規則(GDPR)について

https://www.jetro.go.jp/world/europe/eu/gdpr/

 

 

Annex

★IPA、情報セキュリティ対策の自動化を実現する技術仕様CVSS v3STIXTAXIIの概説

https://www.ipa.go.jp/files/000047275.pdf

 

★IPA、セキュリティ設定共通化手順SCAP概説

https://www.ipa.go.jp/security/vuln/SCAP.html

 

★情報処理学会、学会誌「情報処理」 Vol.59 No.3 1082-1094(Mar.2018)

https://www.ipsj.or.jp/magazine/magazine.html

 

★FIRST

https://www.first.org/

 

★IPA、情報システム等の脆弱性情報の取扱いにおける報告書を公開

https://www.ipa.go.jp/security/fy2019/reports/vuln_handling/index.html

 

 

以上、『CISOハンドブックー業務執行のための情報セキュリティ実践ガイド』のご紹介でした。

是非、本書に加え上記URLも活用いただければ幸いです。

 

 

-情報セキュリティ
-,

Copyright© PEERS JAPAN , 2024 All Rights Reserved Powered by STINGER.