CISOハンドブックを読んでみた

CISOハンドブックが発売されました。速攻買って速攻読みました。
結論、最高すぎました！

おわり

なのですが、もう少しこの本を読んでみての感想と読んで今後、自分の業務にどうつなげていくのか、を考えていきたいと思います。

最初にCISOハンドブックをおすすめする3つの理由をバンっと出しときます。

1. 技術ではなく、経営/事業よりの内容が盛り込まれている
2. 経営、現場と２つの視点で書かれている
3. CISOの役割や他部門との連携について書かれている

1. 技術ではなく、経営/事業よりの内容が盛り込まれている

セキュリティというカテゴリだと、技術やISMSやPマークなどの認証の書籍が多い中、経営/事業よりの内容が盛り込まれたレアなノウハウが詰まっている、という意味でおすすめです。

一般的にセキュリティ関連の書籍というと技術の書籍やISMSやPマークなどの認証の書籍が多いです。

amazonの本のカテゴリで セキュリティ で検索をかけると技術系の書籍が多く出てくるのがわかると思います。

そのような中、技術ではなく経営や事業とセキュリティをどう紐付けていくか、またセキュリティをどんな指標で見ていくかなどの視点で語られた書籍は私が知る限り、これが初めてなのではないでしょうか。

また私はこれまでの経験的に事業会社でセキュリティについて0->1で考えなければ行けないという経験をしてきており、私自身が強い興味を持っていたこともあります。

さて具体的にどのような内容が書かれているのかというと、この書籍の第4章で事業の戦略目標に対するセキュリティ指標化について書かれています。

セキュリティあるあるですが、セキュリティ目標や戦略を考えるときに会社の戦略目標にうまくリンクできないという問題が往々にしてあります。

そのようなときに会社の目標達成を阻む潜在的なリスクを洗い出し、KRI（Key Risk Indicator）としてセキュリティの目標設定をするという手法が紹介されています。

私は自身はこのような手法を初めて知り、今まで考え続けてきたことの1つの答えがあり、目からウロコでした（この手法は納得感高いなぁと思った）

またこの章の続きではバランストスコアカードを使った指標化の方法が詳細に記載されていますので、こちらもオススメです。

2. 経営、現場と2つの視点で書かれている

私もいくつかのガイドラインや書籍など読んできましたが、多くが現実的に実践しづらいなと感じる場面が多かったです。

現実として、経営層が音頭とってセキュリティを推進するということはなかなかなく、結果として現場からのボトムアップなアプローチになりがちです。

そんな状況下でよく記載のある経営層はリスクを認識し、セキュリティ管理態勢を構築しましょうとか方針を策定しましょうみたいな内容が書かれていてもなかなか実行は難しいと感じます。

そんな中でCISOハンドブックではそういった経営の意識を変えたり、方針を作ったりという形から入ることができない場合、現場目線でまずはCIS Controls準拠をやってみては？ということを推奨されています。

CIS Controlsはかなり実践的かつ網羅的なことが書かれており、現場のエンジニア目線ではすごくやりやすいと思います。そしてこれを実行していく中で見えてくるものもあり、その次のステップにつながっていくと思います。

※実際にCIS Controls V7.1を見てみましたが、オンプレ的な要素が多く、そのまま実践するのは難しいなと感じました。CISのCommunityで開発途中のV8.0にはクラウドの内容が多く盛り込まれており、より今の時代にフィットしていると感じたので、もし実勢するのならV8をベースにできそうなところから準拠してみるという方法が良さそう

またこれ以外にもセキュリティアーキテクチャの章があるため、現場の人向けの内容が盛り込まれています。

3. CISOの役割や他部門との連携

部門の責任者、Cクラスだとこのあたりがすごく大切だと思います。ここに関しても他の書籍ではあまり見たことがありません。

CISOの役割や他部門とどう連携していけばよいかといったことが書かれています。

特に近い部門としてコーポレートIT部門、プロダクト部門、リスク管理、人事総務あたりとどう連携しているのか、どう役割を線引するのかといったところが重要になってきます。

今後、どう業務につなげていくか

弊社ではQごとにOKR設定をしているのですが、その際に自分なりにKRIを考え、それをセキュリティObjectiveとして設定することはできそうです。

また弊社ではすでにペンテストを使って特定の攻撃シナリオで脆弱性や問題点を発見し、対策することでセキュリティ向上を図っています。

しかし、これは狭く深い対策のため、もう少し幅広くセキュリティ全体を底上げするという意味でCIS Controlsをベースにできそうなところは準拠していきたいと考えてます。

またCISOの役割の中に組織文化が入っており、セキュリティというものを組織文化として定着させていける活動、仕組みを取り入れられたらと考えてます。

よってアクションとしては

* 会社の目標に対してKRIとして目標設定してみる
* CIS Controlsをベースにできそうなところは準拠する
* 組織文化としてセキュリティを取り入れる

このあたりの提案からしていけたらなぁと今のところは思ってます。

そして、このようなノウハウを共有してくださった著者の方々に感謝を！！