CISO支援ワーキンググループ　リーダー
　　　　　　　　　　　　　株式会社Preferred Networks CSO　高橋正和

セキュリティを経営に組み込む重要性が指摘されるようになり、CISOにその役割が期待されている。しかし、CISOの役割を、経営にISMSを組み込むこととする場合も少なくない。ISMSはセキュリティマネジメントの重要な取り組みではあるが、ISMSを通じて経営に関わることができるのか、また、情報セキュリティリスクが経営指標となるのか、といった点に疑問がある。JNSA CISO支援ワーキンググループは、これらの疑問を整理し、CISOが経営陣の一員として業務執行内容をCISOハンドブックとして取り纏め、本年5月に公開をした。
本稿では、CISOハンドブックで取り上げた課題と概要を紹介する。

CISO ハンドブック（JNSA CISO支援ワーキンググループ）
https://www.jnsa.org/result/2018/act_ciso/index.html

■サーバールームからボードルームへ
米国では、2014年のTarget社に代表される一連のリテール業界への攻撃をきっかけに、「セキュリティはサーバールームからボードルーム（経営会議）に移行した」と言われている。日本でも、経済産業省が公表した「サイバーセキュリティ経営ガイドライン」を契機に、経営とセキュリティのかかわりが議論されるようになり、経営陣の一員としてセキュリティを担うCISOの重要性が指摘さ
れている。
一方で、CISOにはセキュリティ実務と経営という二つのスキルが求められるが、経営を学んだセキュリティ担当者も、セキュリティの専門的な知識を持つ経営者も限定的である。このため、経営陣としての業務執行よりも、ISMS
（Information Security Management System)を組織に実装することに重点を置く場合が多いが、ISMSを中心とした業務執行は、ビジネスのブレーキ役にすぎないと考えている。
経営陣の一員としてのCISOを考える象徴的な場として経営会議を想定すると、組織が置かれているリスク状況と、ビジネスへの貢献への報告と議論が求められる。つまりCISOが執行すべき業務は、ビジネスを推進することを前提としたリスクを明らかにし、必要となる施策を提案、実行することにあると考えることができる。

■組織のリスク状況
一般にセキュリティ施策の評価は、セキュリティポリシーや規準の順守率（いわゆるコンプライアンス率）に偏り、組織が直面する脅威が考慮されない。
CISOハンドブックでは、NISTサイバーセキュリティフレームワークなどを参考にしながら、リスク状況を「組織に対する攻撃の状況」「ポリシー等の順守率」「侵入の可能性指標」「関連する事象」の4つの視点で評価することを提案している。
加えて、リスク状況はCIA（Confidentiality, Integrity, Availability)の侵害ではなく、CIAの侵害がビジネスに与える影響であり、これを判断するためには、全社レベルのリスク管理という視点が必要になる。CISOハンドブックでは、典型的な企業リスク項目を紹介するとともに、CIAと企業リスクの関係について考察を行っている。

■ビジネスへの貢献とセキュリティアーキテクチャ
ビジネスへの貢献という視点では、セキュリティ対策を見る場合、財務諸表における特別損失を防ぐことと考えられることが多いが、IoTやFinTechのようにITが情報系システムではなくビジネス基盤となる業態においては、むしろ、売り上げや利益への貢献が重要となる。しかし、セキュリティ対策を直接的に金額へと展開することは現実的ではないことから、BSC(Balanced Score Card)を使った、財務諸表につながるセキュリティ対策の指標化を提案している。
また、アンチウィルスやファイアウォールなど、セキュリティ製品の実装を中心とした対策では、ビジネスのダイナミズムに対応することが難しい。ビジネスへの貢献という視点で考えた場合、セキュリティ対策の基盤となるアーキテクチャが求められる。CISOハンドブックでは、マイクロソフト社のMOFを紹介するとともに、IAAA（Identification and Authentication, Authorization and
Accountability）を軸としたセキュリティアーキテクチャについて取り上げている。

■むすび
CISOハンドブックは、CISO業務として考慮すべき項目の洗い出しを行ったに過ぎないと考えている。必ずしも十分な内容ではないが、経営陣の一員としてセキュリティ業務を行う際の出発点として、また、CISO業務に関する議論のベースとして利用いただけるのではないかと考えている。今回の公開を契機に、CISOハンドブックをより実践的な内容とするために、多くのJNSA会員の協力が得られるように努めていきたい。

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★セキュリティ被害調査WGでは「2017年 情報セキュリティインシデントに
　関する調査報告書【速報版】」を公開しました。
　（※JNSA会員企業限定で元ファイルも公開しています）
https://www.jnsa.org/result/incident/

★西日本支部｜経営者のための情報セキュリティ対策実践手引きWGでは、
「経営者のための情報セキュリティ対策
-ISO31000から組織状況の確定の事例-」を公開しました。
https://www.jnsa.org/result/2018/west_tebiki/

★ゲーム教育WGで「ゲームファシリテーター派遣」を開始しました。
https://www.jnsa.org/edu/secgame/index.html#facilitatior

★サイバーセキュリティ小説コンテストの応募作品はカクヨムの特設ページで
読むことができます。ぜひご覧下さい。
https://kakuyomu.jp/contests/cyber_security
（カクヨム特設ページに飛びます）

★6月12日（火）に開催しましたJNSA2017年度活動報告会の発表資料を
こちらで公開しています。ぜひご覧下さい。
https://www.jnsa.org/seminar/2018/0612/

【事務局からの連絡、お知らせ】
★JNSAインターンシップ情報を公開しています。
　[JNSAインターンシップ]
https://www.jnsa.org/internship/
インターンシップを実施されている企業の方はぜひ、ご参加ご検討下さい。

★サイバーインシデント緊急対応企業一覧を公開しています。
https://www.jnsa.org/emergency_response/
緊急対応可能な窓口をお持ちの会員企業様は、
JNSA事務局までお問合せ下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第139号
発信日：2018年6月15日
発　行：JNSA事務局　
*************************************