★☆★JNSAメールマガジン 第253号 2023.1.6☆★☆
2023/01/06 (Fri) 17:30
★☆★JNSAメールマガジン 第253号 2023.1.6☆★☆
こんにちは
JNSAメールマガジン 第253号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
JNSA CISO支援ワーキンググループ 高橋 正和様にご寄稿いただきました。
【連載リレーコラム】
セキュリティ施策をデバッグする「CISOのための情報セキュリティ戦略」のご紹介
JNSA CISO支援ワーキンググループ リーダ
株式会社Preferred Networks, VP 最高セキュリティ責任者
高橋 正和
JNSA CISO支援ワーキングループ「CISOハンドブック」の第2弾として、
本年1月に「CISOのための情報セキュリティ戦略」を出版する運びとなりました。
本書は、“セキュリティ施策をデバッグする”をテーマに、「P. プロファイル
(資料などの収集・整理)」、「E. 机上演習」、「S. 事件・事故の公表」、
「F. フィードバック」の4つの視点から、ソフトウェア開発における
ウォークスルーのようにセキュリティ施策を確認し、デバッグする手順を、
体系化したものです。
「机上演習なんて甘ちょろい」という見方もあると思いますが、机上演習は
紛失や盗難といった、ペネトレーションテストでは実施できないシナリオを
扱えるだけではなく、「S. 事件・事故の公表」というアウトプットを設定する
ことで、経営陣、事業責任者、法務、広報といった社内の関係者が同じ土俵で
議論すること、つまり技術論に留まらない、組織としての議論が見込める
メリットがあります。
CISOのための情報セキュリティ戦略~危機から逆算して攻略せよ~
高橋正和(著)、JNSA CISO支援ワーキンググループ(協力)
技術評論社
ISBN978-4-297-13294-1 C3055
本書の執筆を始めたきっかけは、「CISOハンドブックは分った気になるけど、
使おうと思うと使えないのだよね」というWGメンバのコメントでした。
自身が関わった本なのだから、読書百遍で分かるはず!と言いたいところですが、
CISOハンドブックは、業務を進める際に必要なセクションを参照する構成なので、
全体像や流れが掴みにくいかもしれません。セキュリティ業務とCISOハンドブ
ックを結びつけることを目指して、2018年に公表した「インシデント対応ワー
クショップ 」をベースに、事件・事故のシナリオを使った机上演習として
まとめることにしました。
蕎麦屋の出前の伝統どおり、すぐにでも書けるかと書き始めましたが、
「CSIRT向けの内容とどこが違うのか?ATT&CKじゃダメなのか?」という
WGメンバのコメントで作業が凍り付きます。この疑問は、本書の本質に関わる
ようで、査読をいただいた方々からも、類似する指摘をいただく事となりました。
本書は、検証の対象を技術やシステムではなく、事業視点としている点に特徴
があります。端的には、フォレンジックなどの具体的な技術ではなく、誰が
事業継続などの判断をすべきか、何を公表すべきなのか、被害者にどう対応
すべきか、処々の判断基準はどうあるべきか、といった内容を取り上げています。
また、この点を強調するため、事件・事故を展開した例を掲載し、また、ワー
クショップを行うための仮想的な会社の「P. プロファイル」を掲載しました。
セキュリティ対策を進める上で、ISMSに代表される国際的なベストプラクティス
が重要な役割を果たしています。しかし、ベストプラクティスの遵守が、必ず
しも適切なセキュリティ施策になっているとは限らず、事業戦略や経営戦略に
沿ったものとなっているとも限りません。
本書は、企業が自らの手で、事業視点・経営視点からセキュリティ施策を検証し、
関係者が課題と責任を共有する手段を提案しています。ユーザー企業が自社の
セキュリティ施策を検証する際に、また、セキュリティベンダーがCISO視点
からソリューションを提案する一助として、ご参照いただければ幸いに思います。
CISO支援ワーキンググループでは、(原則)毎週月曜夕方にオンライン会議
を開催しています。本書の内容だけではなく、業務上の課題や、国内外の最新
動向などについてもディスカッションを行っています。現在は、本書をベース
にしたワークショップの実施に向けて議論を進めているところです。
CISO業務に悩んでいる方、WG活動に興味を持っていただいた方、CISOハンド
ブックや本書に言いたいことがある方は、ぜひCISO支援ワーキンググループに
ご参加ください。新しいチャレンジをご一緒できると思います。
CISOハンドブック https://www.jnsa.org/result/2018/act_ciso/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/m4d9k38v
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本ISMSユーザグループ主催
「情報セキュリティマネジメント・セミナー2022」
12/16開催分の資料公開いたしました。
https://www.jnsa.org/seminar/2022/isms2022/index.html
★標準化部会デジタルアイデンティティWG主催ミニウェビナー
12月22日開催分 第3回「デバイスとアイデンティティ」
講演動画公開中!!Youtube JNSAチャンネル
https://www.youtube.com/user/JNSAseminar
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第253号
発信日:2023年1月6日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第253号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
JNSA CISO支援ワーキンググループ 高橋 正和様にご寄稿いただきました。
【連載リレーコラム】
セキュリティ施策をデバッグする「CISOのための情報セキュリティ戦略」のご紹介
JNSA CISO支援ワーキンググループ リーダ
株式会社Preferred Networks, VP 最高セキュリティ責任者
高橋 正和
JNSA CISO支援ワーキングループ「CISOハンドブック」の第2弾として、
本年1月に「CISOのための情報セキュリティ戦略」を出版する運びとなりました。
本書は、“セキュリティ施策をデバッグする”をテーマに、「P. プロファイル
(資料などの収集・整理)」、「E. 机上演習」、「S. 事件・事故の公表」、
「F. フィードバック」の4つの視点から、ソフトウェア開発における
ウォークスルーのようにセキュリティ施策を確認し、デバッグする手順を、
体系化したものです。
「机上演習なんて甘ちょろい」という見方もあると思いますが、机上演習は
紛失や盗難といった、ペネトレーションテストでは実施できないシナリオを
扱えるだけではなく、「S. 事件・事故の公表」というアウトプットを設定する
ことで、経営陣、事業責任者、法務、広報といった社内の関係者が同じ土俵で
議論すること、つまり技術論に留まらない、組織としての議論が見込める
メリットがあります。
CISOのための情報セキュリティ戦略~危機から逆算して攻略せよ~
高橋正和(著)、JNSA CISO支援ワーキンググループ(協力)
技術評論社
ISBN978-4-297-13294-1 C3055
本書の執筆を始めたきっかけは、「CISOハンドブックは分った気になるけど、
使おうと思うと使えないのだよね」というWGメンバのコメントでした。
自身が関わった本なのだから、読書百遍で分かるはず!と言いたいところですが、
CISOハンドブックは、業務を進める際に必要なセクションを参照する構成なので、
全体像や流れが掴みにくいかもしれません。セキュリティ業務とCISOハンドブ
ックを結びつけることを目指して、2018年に公表した「インシデント対応ワー
クショップ 」をベースに、事件・事故のシナリオを使った机上演習として
まとめることにしました。
蕎麦屋の出前の伝統どおり、すぐにでも書けるかと書き始めましたが、
「CSIRT向けの内容とどこが違うのか?ATT&CKじゃダメなのか?」という
WGメンバのコメントで作業が凍り付きます。この疑問は、本書の本質に関わる
ようで、査読をいただいた方々からも、類似する指摘をいただく事となりました。
本書は、検証の対象を技術やシステムではなく、事業視点としている点に特徴
があります。端的には、フォレンジックなどの具体的な技術ではなく、誰が
事業継続などの判断をすべきか、何を公表すべきなのか、被害者にどう対応
すべきか、処々の判断基準はどうあるべきか、といった内容を取り上げています。
また、この点を強調するため、事件・事故を展開した例を掲載し、また、ワー
クショップを行うための仮想的な会社の「P. プロファイル」を掲載しました。
セキュリティ対策を進める上で、ISMSに代表される国際的なベストプラクティス
が重要な役割を果たしています。しかし、ベストプラクティスの遵守が、必ず
しも適切なセキュリティ施策になっているとは限らず、事業戦略や経営戦略に
沿ったものとなっているとも限りません。
本書は、企業が自らの手で、事業視点・経営視点からセキュリティ施策を検証し、
関係者が課題と責任を共有する手段を提案しています。ユーザー企業が自社の
セキュリティ施策を検証する際に、また、セキュリティベンダーがCISO視点
からソリューションを提案する一助として、ご参照いただければ幸いに思います。
CISO支援ワーキンググループでは、(原則)毎週月曜夕方にオンライン会議
を開催しています。本書の内容だけではなく、業務上の課題や、国内外の最新
動向などについてもディスカッションを行っています。現在は、本書をベース
にしたワークショップの実施に向けて議論を進めているところです。
CISO業務に悩んでいる方、WG活動に興味を持っていただいた方、CISOハンド
ブックや本書に言いたいことがある方は、ぜひCISO支援ワーキンググループに
ご参加ください。新しいチャレンジをご一緒できると思います。
CISOハンドブック https://www.jnsa.org/result/2018/act_ciso/
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/m4d9k38v
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★日本ISMSユーザグループ主催
「情報セキュリティマネジメント・セミナー2022」
12/16開催分の資料公開いたしました。
https://www.jnsa.org/seminar/2022/isms2022/index.html
★標準化部会デジタルアイデンティティWG主催ミニウェビナー
12月22日開催分 第3回「デバイスとアイデンティティ」
講演動画公開中!!Youtube JNSAチャンネル
https://www.youtube.com/user/JNSAseminar
【事務局からのお知らせ】
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第253号
発信日:2023年1月6日
発 行:JNSA事務局 sec@jnsa.org
*************************************