【書籍】「経営者のための情報セキュリティQ&A45」

2019年11月6日発売
タイトル：経営者のための情報セキュリティQ&A45
出版社：日本経済新聞出版社
ページ数：256ページ
金額：1,800円(税別)

情報セキュリティの本は、世の中に数多く出版されています。しかし、大半は技術者視点の本であり、経営者層に向けた本は少ないのが実情です。

この本は、経営者の視点で、情報セキュリティ、コンサルティング、弁護士、裁判官と各分野の専門家たちとともに、経営者に対して知ってほしいこと、知っておくべきこと、技術的な言葉より易しい言葉で伝えたい、そんな想いで執筆しました。
無知も無策も許されない。本書を読めば、最低限の常識が身に付くハズです。情報セキュリティはよく分からないけれど重要だと考えている経営者の皆さま、是非本書を手に取ってみてください。

このノートでは、11月に発売となる本書の章とQを紹介します。

【第1章】リスクの話
－インシデントを想定した備え－

本章は経営者として理解しておくべきリスクの種類、情報セキュリティのリスク全般に関する解説をしています。
Q1 企業におけるリスクとは何か？リスクの種類は何がありますか？
Q2 リスク管理と危機管理の違いは何ですか？
Q3 リスクをコントロールするにはどうすればよいですか？
Q4 情報セキュリティにかかる内部監査、外部監査とは何ですか？
Q5 情報セキュリティリスクの洗い出しはどうすればよいですか？

【第2章】組織の話
－体制の構築と運用－

本章は情報セキュリティ体制をどうやって構築するのかを解説しています。
Q6 サイバー攻撃はなぜ防げないのですか？
Q7 企業規模を問わず情報セキュリティ対策は必要ですか？
Q8 情報セキュリティ体制はどのように構築すればよいですか
Q9 即応態勢の整備はどうすればよいですか？
Q10 サイバー攻撃の被害に気づく工夫は何ですか？
Q11 インターネットにおける炎上にはどんな対策がありますか？
Q12 新たなITサービスの提供に際し、気をつけるべき点は何ですか？
Q13 IoT機器の導入で気をつけるべき点は何ですか？

【第3章】ヒトの話
－人材育成と人材不足への対応－

本章は人材が不足している問題、人材育成の仕方、内部では足りない場合の外部委託する際の留意点を解説しています。
Q14 どのようなセキュリティ人材が必要とされていますか？
Q15 経営者として人材育成にどう関わればよいですか？
Q16 限られた人員でできる（やるべき）ことは何ですか？
Q17 外部委託について留意すべき点は何ですか？

【第4章】データの話
－重要性と管理－

本章はデータの重要性、管理方法について解説しています。
Q18 データを保護する必要性は何ですか？
Q19 データの管理はどうすればよいですか？
Q20 サイバー攻撃で盗まれた情報はどうなるのですか？
Q21 機密情報はどう保護すればよいですか？
Q22 GDPRのために何をすればよいですか？

【第5章】内部の話
－企業不祥事・不正への対策－

本章は内部不正が働くメカニズム、内部不正への対策を解説しています。
Q23 内部不正によるインシデントはどうして発生するのですか？
Q24 内部不正を防ぐにはどうすればよいですか？
Q25 内部不正による情報セキュリティインシデントが発生した場合、まず何をすればよいですか？
Q26 内部不正をした従業員等へは何をすればよいですか？
Q27 モニタリングはどこまでしてもよいのですか？

【第6章】責任の話
－被害発生と法的関係－

本章はサイバー攻撃の被害に対する責任問題について判例とともに解説しています。
Q28 サイバー攻撃の被害に遭ったら何をすればよいですか？どんな被害や損害がありますか？
Q29 サイバー保険に入っておけば大丈夫ですか？
Q30 サイバー攻撃の被害者なのに謝罪は必要ですか？
Q31 サイバー攻撃の被害企業の責任が問われた裁判例はありますか？（1）
Q32 サイバー攻撃の被害企業の責任が問われた裁判例はありますか？（2）
Q33 情報セキュリティインシデントに関連して経営者の責任が問われますか？
Q34 企業や経営者に対する法的責任には、どのようなものがありますか？

【第7章】国家の話
－政府の政策と海外動向－

本章はサイバーセキュリティに関する法令、海外法制も含めて解説しています。
Q35 サイバーセキュリティ基本法とは何ですか？
Q36 サイバーセキュリティ経営ガイドラインとは何ですか？
Q37 企業の情報セキュリティ対策に係る規制はありますか？
Q38 海外における注意すべき規制はありますか？
Q39 セキュリティ対策の情報共有が重視される理由は何ですか？
Q40 サイバー犯罪の種類と最近の摘発事例は何がありますか？
Q41 サイバー攻撃の犯人を捕まえるのはなぜ難しいのですか？

【第8章】お金の話
－税制支援とコストから投資へ－

本章は国からの支援、情報セキュリティ対策へかけるリソースはコストと考えるべきではないこと、機器導入時の考え方について解説しています。
Q42 情報セキュリティ対策への国からの補助はありますか？
Q43 情報セキュリティ対策費用の適正額はいくらですか？
Q44 情報セキュリティ対策はコストではないのですか？
Q45 セキュリティ対策製品の導入で注意すべき点は何ですか？

【コラム】

コラムでは、章に記載できなかった問題点や疑問点、経営者に近い方々に知ってほしい点を解説しています。

・リスク特定や分類のためのフレームワーク
・情報セキュリティにおける体制と態勢の違い
・リスクの意味の変遷
・内部通報制度
・ハインリッヒの法則
・雪印食品の牛肉偽装事件
・攻撃者から狙われにくくするための対策
・情報セキュリティインシデントと情報セキュリティイベント
・情報セキュリティ対策を推進するためのロードマップ作成
・資産管理ソフトとEDR
・多要素認証の活用

【コメント】
本書は、情報セキュリティに詳しい方々、情報セキュリティに十分な対策を投入できる方々ではなく、情報セキュリティを確保できる企業の裾野を広げるべく、これから情報セキュリティ対策に取り組まれようとしている方々、取り組んでいるけれども、まだまだ理解不足の方々を対象にしています。

経営者だけではなく、情報セキュリティに明るくない技術者、法律家、コンサルタントの方々にもオススメできる本になっています。