CISOハンドブック―業務執行のための情報セキュリティ実践ガイド [単行本]

CISOハンドブック―業務執行のための情報セキュリティ実践ガイド の 商品概要

• 目次

  ■第1章　情報セキュリティの目的 1
  1-1 CISOの役割とは何か
  1-2 ビジネスリスクと情報セキュリティ
  1-3 情報セキュリティリスクにかかわる3つの立場（3線モデル：Three Lines of Defense Model）
  
  ■第2章　情報セキュリティマネジメントの基礎知識
  2-1 情報セキュリティマネジメントの基礎知識
  2-1-1 リスクマネジメント
  2-1-2 ISO31000リスクマネジメント
  2-1-3 統計的手法に基づいたリスクの定量化
  2-1-4 EDC によるリスクの定量化
  2-1-5 リスクマネジメントを実施するにあたって
  2-2 情報セキュリティ計画実施モデル
  2-2-1 情報セキュリティ計画策定のケーススタディ：CISコントロールズの実装
  2-2-2 CIS コントロールズから始める情報セキュリティ対策
  2-2-3 侵害を前提としたセキュリティ計画：サイバーセキュリティフレームワーク
  2-3 経営サイクルと情報セキュリティマネジメントサイクル
  2-4 マネジメントサイクルに沿った報告
  2-4-1 年間計画に基づいたPDCA的な報告
  2-4-2 緊急対応に関するOODA的な報告
  2-4-3 情報セキュリティと法令順守
  2-4-4 監査による執行状況の評価
  2-4-5 情報セキュリティとコーポレートガバナンス
  
  ■第3章　基本となる経営指標
  3-1 CISOのための財務諸表の読み方
  3-2 経営における「数字」の重要性
  3-3 財務会計49
  3-4 貸借対照表の見方
  3-5 短期的な支払い能力の評価
  3-6 長期的な支払い能力の評価
  3-7 財務の健全性の評価
  3-8 管理会計
  3-8-1 計画する：損益分岐点
  3-8-2 分割する：セグメントへの分割と評価
  3-8-3 評価する：規模や内容が異なる事業（セグメント）の評価
  3-9 財務健全性と投資収益性を比較する
  3-10 経営指標を現場に展開する（オムロン株式会社の例）
  3-11 ファイナンス
  3-11-1 原価主義と時価主義
  3-12 ファイナンスの基本的な考え方
  3-13 会社法と資本比率
  3-13-1 資本比率
  3-13-2 セキュリティ事故と株価
  
  ■第4章　情報セキュリティの指標化
  4-1 情報セキュリティの指標化
  4-2 コストとしての情報セキュリティ
  4-2-1 セキュリティ事故の推定損害額
  4-3 情報セキュリティ指標を経営の数字に展開
  4-3-1 バランストスコアカードを使ったKPIの展開
  4-3-2 ケーススタディ：テレワークを題材としたバランストスコアカードの利用例
  4-3-3 経営における情報セキュリティの役割
  4-3-4 情報セキュリティに対する役割と責任
  
  ■第5章　モニタリングと評価手法
  5-1 モニタリングに基づいた施策の評価
  5-2 組織情報のセキュリティ成熟度評価
  5-2-1 Cybersecurity Capability Maturity Model（C2M2）
  5-2-2 評価対象：機能（ファンクション）100
  5-2-3 評価ドメイン
  5-2-4 成熟度指標レベル
  5-2-5 成熟度評価で参照される規準および標準
  5-3 実装レベルのモニタリング
  5-3-1 インベントリの取得と維持
  5-3-2 脆弱性の把握と不正アクセス検知
  5-4 サイバー攻撃への対応能力評価
  5-4-1 攻撃者視点での評価：Red Teaming
  5-4-2 TLPTフレームワーク
  
  ■第6章　情報セキュリティ監査
  6-1 情報セキュリティ監査の目的
  6-1-1 Cから始めるPDCA
  6-2 セキュリティ監査の分類と目的
  6-2-1 「助言型監査」と「保証型監査」
  6-2-2 ISMS 適合性評価制度とセキュリティ監査
  6-2-3 第三者によるセキュリティ監査結果の利用
  6-3 内部監査人の選択方法
  6-4 外部監査人の選択方法
  6-5 CISOは監査報告書を受け取ったら何をすれば良いか
  6-5-1 監査結果の確認とCISO の心得
  6-5-2 改善計画書の作成
  6-5-3 フォローアップの必要性
  
  ■第7章　情報セキュリティアーキテクチャ
  7-1 アーキテクチャの重要性
  7-2 情報セキュリティアーキテクチャの基本要素
  7-2-1 IAAAに基づいたアクセスコントロール
  7-2-2 情報格付（データクラシフィケーション）
  7-2-3 権限管理
  7-2-4 物理的・ネットワーク的なアクセスコントロール
  7-2-5 統制基盤
  7-2-6 統合ログ管理
  7-3 エンタープライズセキュリティアーキテクチャ（ESA）
  7-3-1 Sherwood Applied Business Security Architecture（SABSA）
  7-3-2 SABSA を学ぶためのガイド
  7-3-3 COBIT
  7-3-4 The Open Group Architecture Framework（TOGAF）
  7-3-5 TOGAF を学ぶためのガイド
  7-3-6 Information Technology Infrastructure Library（ITIL）
  7-4 ゼロトラスト
  7-5 「トラストがゼロ」の背景
  7-5-1 技術革新
  7-5-2 利用形態の変化
  7-5-3 攻撃手法の変化
  7-6 ゼロトラストアーキテクチャ
  7-6-1 リソースのセグメント境界
  7-6-2 システムリソース
  7-6-3 アプリケーションリソース
  7-6-4 リソースに対する最小権限の維持
  7-6-5 アクセス要求元が使用するシステム
  7-6-6 アクセス要求元が使用するアプリケーション
  7-6-7 ゼロトラストの基本原則と前提
  7-7 ゼロトラストアーキテクチャの論理的構成要素
  7-7-1 PE（ポリシーエンジン）：指定されたリソースへのアクセス許可の最終的な判断を行う
  7-7-2 PA（ポリシーアドミニストレータ）：アクセス要求元とリソースの通信経路の確立・遮断を行う
  7-7-3 PEP（ポリシー実施ポイント）：アクセス要求元とリソースの接続を有効化、監視、終了を行う
  7-7-4 ゼロトラストアーキテクチャの要素
  7-8 ゼロトラストアーキテクチャで防げない攻撃
  7-9 継続的な技術動向の把握
  
  ■第8章　DXと情報セキュリティ
  8-1 デジタルトランスフォーメーション（DX）の目的は事業変革
  8-2 DXとテクノロジー
  8-3 OODA、アジャイル、DevOpsのアプローチ
  8-3-1 OODA の適用
  8-3-2 アジャイルの適用
  8-3-3 DevOpsの適用
  8-4 DX のセキュリティ実現において、PDCAをどう使うか
  8-5 CISOはDXプロジェクトにいかにして貢献するか
  8-5-1 DXのボトルネックにならない
  8-5-2 DXの推進につながる働きかけをする
  8-5-3 リスクプロファイルによりセキュリティもDXする
  
  ■第9章　クラウドファーストの情報セキュリティ
  9-1 クラウドファーストへの転換
  9-2 クラウドサービスの主要なモデルと責任分界点
  9-3 クラウドサービス選定時の考慮点
  9-3-1 情報の格付けおよび取扱制限（クラシフィケーション）
  9-3-2 法令・基準への対応状況を確認する
  9-3-3 サービス契約と準拠法・裁判管轄
  9-3-4 クラウドサービスの中断や終了時
  9-3-5 情報流通経路全般のセキュリティ
  9-3-6 外部認証、認定を利用した効率的な情報セキュリティ対策実施状況の把握
  9-3-7 クラウドサービスプロバイダーのコンプライアンス対応：Microsoft社の例
  9-4 実践的な情報セキュリティ評価
  9-4-1 European Union Agency for Network and Information Security（ENISA）Cloud Security
  Guide for SMEs
  9-4-2 クラウドサービスの評価：調査サービスの利用
  9-5 セキュリティの主要な評価要素
  9-5-1 ガバナンスとリスクマネジメント
  9-5-2 アーキテクチャ
  9-5-3 データセンターセキュリティ
  9-5-4 事業継続と可用性
  9-5-5 サプライチェーンの管理、透明性、説明責任195
  9-5-6 人的セキュリティ
  9-5-7 アイデンティティとアクセス管理
  9-5-8 顧客データの取り扱い
  9-5-9 アプリケーションセキュリティ
  9-5-10 暗号化
  9-5-11 ロギング、モニタリング
  9-5-12 データ連携
  9-5-13 変更管理と構成管理
  9-5-14 インシデント管理
  9-5-15 脆弱性管理
  9-5-16 モバイルセキュリティ
  9-6 クラウドサービスをセキュアに利用するために
  9-6-1 管理機構の利用
  9-6-2 クラウド間連携とAPI の課題
  
  ■第10章　情報セキュリティインシデント対応と報告
  10-1 情報セキュリティインシデントとCSIRTの設置
  10-2 セキュリティインシデントの推移
  10-2-1 内部の過失による物理的な保護の破綻
  10-2-2 内部の過失によるネットワーク的な保護の破綻
  10-2-3 内部からの攻撃
  10-2-4 外部からの持続的な攻撃（APT）
  10-2-5 内部によるシステム的・ネットワーク的な保護の欠如：オンラインストレージ
  10-2-6 内部によるシステム的な保護の欠如：Webサービスのプラットフォーム
  10-2-7 外部からの攻撃：リスト型攻撃
  10-2-8 外部からの攻撃：DDoS事件
  10-2-9 外部からの攻撃：ランサムウェア
  10-2-10 外部からの攻撃：ビジネスメール詐欺
  10-2-11 外部からの攻撃：DNS の乗っ取り
  10-2-12 サプライチェーンの問題：廃棄ハードディスクの転売事件
  10-3 新しい領域のインシデント
  10-3-1 IoT セキュリティ
  10-3-2 自動車のセキュリティ
  10-3-3 WannaCry：攻撃者の変化（国家機関の関与）
  10-3-4 キャッシュレス決済の不正な引き落とし
  10-3-5 暗号資産に対する攻撃
  10-3-6 AIセキュリティ
  10-3-7 SNSを基点とした炎上255
  10-3-8 SNSアカウントの乗っ取り
  10-4 脆弱性評価
  10-4-1 脆弱性の深刻度評価（CVSS）
  10-4-2 脅威ハンティング（Threat Hunting）
  10-4-3 製品やサービスベンダーのセキュリティ対応能力
  10-4-4 脅威インテリジェンスの利用
  10-4-5 リスクの転移
  10-4-6 地政学リスク
  10-4-7 報告されない脆弱性
  10-5 CTFとインシデント対応演習
  10-6 インシデントを想定したセキュリティ施策の評価
  
  ■第11章　製品選定とベンダー選定
  11-1 ベンダーとの対応方法
  11-2 セキュリティソリューション検討時の留意点
  11-3 ベンダー選定時の留意点
  11-3-1 製品・サービスの開発元
  11-3-2 販売会社・販売代理店
  11-3-3 システムインテグレータ
  11-4 ライフサイクルにおけるベンダー評価
  
  ■第12章　CISOの責務と仕事
  12-1 CISOの役割
  12-2 サイバーセキュリティ経営ガイドライン
  12-3 米国におけるCISO 像：CISO COMPASSのCISO像
  12-3-1 CISO の歴史
  
  ■第13章　経営陣としてのCISOへの期待
  13-1 CISOの役割と連携
  13-1-1 コミュニケーションにおける注意事項
  13-2 経営会議での報告
  13-3 役職などの名称について
  13-4 財務会計部門との連携（CFO）
  13-5 業務部門との連携（COO）
  13-6 IT部門との連携（CIO）
  13-7 リスク管理部門との連携（CRO）
  13-8 総務・人事部門との連携
  13-9 法務部門との連携
  13-10 監査部門との連携
  13-11 広報部門との連携
  13-12 社外との連携
  13-13 執行責任者としてのCISO
  
  ■Annex
  Annex A 事業計画策定例
  A-1 事業計画の位置付け
  A-2 資格制度を導入した場合の試算（サブスクリプション）
  A-3 事業計画1-4の評価
  Annex B CISOダッシュボード
  B-1 CISOダッシュボード
  B-2 情報セキュリティ事故の説明責任
  Annex C 情報セキュリティ対策の標準化と自動化の流れ
  Annex D EDC 手法を使ったセキュリティ対策効果の試算
  D-1 EDC 手法の導入
  D-2 EDC 手法による対策案の最適解算出手順
  D-3 対策リストの策定
  Annex E Need to Know 再考
  E-1 すべての会話と知識を検索可能にする
  Annex F 新型コロナウイルス後のセキュリティ
  F-1 業務形態の変化とCISO に求められる役割
  F-2 セキュリティ対策
  F-3 情報格付けと情報の取り扱い
  F-4 規定とセキュリティポリシー
  F-5 企業活動の基盤としてのコミュニケーション
  F-6 成果の定義と評価
  F-7 企業文化と教育
  Annex G セキュリティインシデントの推移
  G-1 サイバー攻撃の変化と潮流
  G-2 マルウェアの誕生（1990年代以前）
  G-3 インターネットワーム（モリスワーム）
  G-4 Mellisa とメール型ウイルス
  G-5 現実化したDDoS攻撃（2000年前後）
  G-6 日本における省庁Web改ざん（日本のネットワークセキュリティの起点）
  G-7 CodeRedに始まるワーム事件
  G-8 ボットネットとサイバー犯罪
  G-9 標的型攻撃
  G-10 ランサムウェア
  G-11 ビジネスメール詐欺（BEC）
  G-12 攻撃の背景にあるエコシステム（アンダーグラウンドフォーラム）
  G-13 脆弱性報告に対する報償プログラム
  G-14 情報セキュリティ早期警戒パートナーシップ
  G-15 まとめ
  Annex H 情報格付け
  H-1 情報格付け統一基準
  H-2 日本政府における格付け
  H-3 英国政府における格付け
  H-4 日英の違いとそのポイント

• 内容紹介

  企業はDX（デジタルトランスフォーメーション）によって変化しなければならない、しかしIT化すればするほど情報セキュリティの問題が発生！　業者に頼めばいいのか……、いや継続的に情報セキュリティの問題は起きてしまうだろう……。そう、企業がIT化を進めDXを促進すると、情報セキュリティが生命線になることは避けられないのが本当のところです。そこで欧米では技術職の視点をもった経営陣の一人としてCISO（Chief Information Security Officer）の役職が誕生しました。情報セキュリティ問題に悩むあらゆる企業の担当者の皆さんのために、本書はCISOがすべき情報セキュリティの問題解決方法を最新の情報をもとにまとめあげました。

• 著者紹介（「BOOK著者紹介情報」より）（本データはこの書籍が刊行された当時に掲載されていたものです）

  高橋 正和(タカハシ マサカズ)
  基本ソフト、製品企画開発、品質管理などの経験を経て、１９９９年７月にインターネットセキュリティシステムズに入社。当時、名人芸とされたセキュリティを、ソフトウェア工学のような合理的で再現性のあるプロセスにすることを目指した。プロフェッショナルサービス事業責任者、ＣＩＯ、ＣＴＯを務める。２００６年Ｗｉｎｄｏｗｓ　Ｖｉｓｔａの発表を機会に、日本マイクロソフトＣｈｉｅｆ　Ｓｅｃｕｒｉｔｙ　Ａｄｖｉｓｏｒに就任。日本におけるセキュリティの窓口として、脆弱性やインシデントの対応や、マイクロソフト社が提唱するセキュリティの啓発に努める。業界団体、公共団体とともに日本のセキュリティの向上を目指した取り組みも推進。ある日、サッカーに例えれば、フィールドに立っていないことに気が付く。技術が大きく動いている時期でもあり、ユーザー企業のセキュリティ担当者としてフィールドに立つことを決心し、２０１７年にＡＩ系のベンチャー企業Ｐｒｅｆｅｒｒｅｄ　Ｎｅｔｗｏｒｋｓに入社。執行役員最高セキュリティ責任者を務める。ＣＩＳＳＰ（Ｃｅｒｔｉｆｉｅｄ　Ｉｎｆｏｒｍａｔｉｏｎ　Ｓｙｓｔｅｍｓ　Ｓｅｃｕｒｉｔｙ　Ｐｒｏｆｅｓｓｉｏｎａｌ）、日本ネットワークセキュリティ協会（ＪＮＳＡ）副会長、日本リスク・マネジメント学会（ＪＳＳＭ）執行理事

• 著者について

  高橋 正和 (タカハシ マサカズ)
  基本ソフト、製品企画開発、品質管理などの経験を経て、1999年7月にインターネットセキュリティシステムズに入社。プロフェッショナルサービス事業責任者、CIO、CTOを務める。　2006年Windows Vistaの発表を機会に、日本マイクロソフト Chief Security Advisorに就任。日本におけるセキュリティの窓口として、脆弱性やインシデントの対応や、マイクロソフト社が提唱するセキュリティの啓発に努める。業界団体、公共団体とともに日本のセキュリティの向上を目指した取り組みも推進。　技術が大きく動いている時期でもあり、ユーザー企業のセキュリティ担当者としてフィールドに立つことを決心し、AI系のベンチャー企業 Preferred Networksに入社。執行役員 最高セキュリティ責任者を務める。・CISSP（Certified Information Systems Security Professional）・日本ネットワークセキュリティ協会（JNSA）　副会長・日本リスク・マネジメント学会（JSSM）　執行理事

CISOハンドブック―業務執行のための情報セキュリティ実践ガイド の商品スペック