内容紹介

（概要）

企業はDX（デジタルトランスフォーメーション）によって変化しなければならない、しかしIT化すればするほど情報セキュリティの問題が発生！　業者に頼めばいいのか……、いや継続的に情報セキュリティの問題は起きてしまうだろう……。そう、企業がIT化を進めDXを促進すると、情報セキュリティが生命線になることは避けられないのが本当のところです。そこで欧米では技術職の視点をもった経営陣の一人としてCISO（Chief Information Security Officer）の役職が誕生しました。情報セキュリティ問題に悩むあらゆる企業の担当者の皆さんのために、本書はCISOがすべき情報セキュリティの問題解決方法を最新の情報をもとにまとめあげました。

（こんな方におすすめ）

・情報セキュリティ担当者、セキュリティエンジニア、CTO、CIO、CISO、情報システム部担当者など

（目次）

第1章　情報セキュリティの目的

　　1-1 CISOの役割とは何か

　　1-2 ビジネスリスクと情報セキュリティ

　　1-3 情報セキュリティリスクにかかわる3つの立場（3線モデル：Three Lines of Defense Model）

第2章　情報セキュリティマネジメントの基礎知識

　　2-1 情報セキュリティマネジメントの基礎知識

　　2-2 情報セキュリティ計画実施モデル

　　2-3 経営サイクルと情報セキュリティマネジメントサイクル

　　2-4 マネジメントサイクルに沿った報告

第3章　基本となる経営指標

　　3-1 CISOのための財務諸表の読み方

　　3-2 経営における「数字」の重要性

　　3-3 財務会計49

　　3-4 貸借対照表の見方

　　3-5 短期的な支払い能力の評価

　　3-6 長期的な支払い能力の評価

　　3-7 財務の健全性の評価

　　3-8 管理会計

　　3-9 財務健全性と投資収益性を比較する

　　3-10 経営指標を現場に展開する（オムロン株式会社の例）

　　3-11 ファイナンス

　　3-12 ファイナンスの基本的な考え方

　　3-13 会社法と資本比率

第4章　情報セキュリティの指標化

　　4-1 情報セキュリティの指標化

　　4-2 コストとしての情報セキュリティ

　　4-3 情報セキュリティ指標を経営の数字に展開

第5章　モニタリングと評価手法

　　5-1 モニタリングに基づいた施策の評価

　　5-2 組織情報のセキュリティ成熟度評価

　　5-3 実装レベルのモニタリング

　　5-4 サイバー攻撃への対応能力評価

第6章　情報セキュリティ監査

　　6-1 情報セキュリティ監査の目的

　　6-2 セキュリティ監査の分類と目的

　　6-3 内部監査人の選択方法

　　6-4 外部監査人の選択方法

　　6-5 CISOは監査報告書を受け取ったら何をすれば良いか

第7章　情報セキュリティアーキテクチャ

　　7-1 アーキテクチャの重要性

　　7-2 情報セキュリティアーキテクチャの基本要素

　　7-3 エンタープライズセキュリティアーキテクチャ（ESA）　　7-4 ゼロトラスト

　　7-5 「トラストがゼロ」の背景

　　7-6 ゼロトラストアーキテクチャ

　　7-7 ゼロトラストアーキテクチャの論理的構成要素

　　7-8 ゼロトラストアーキテクチャで防げない攻撃

　　7-9 継続的な技術動向の把握

第8章　DXと情報セキュリティ

　　8-1 デジタルトランスフォーメーション（DX）の目的は事業変革

　　8-2 DXとテクノロジー

　　8-3 OODA、アジャイル、DevOpsのアプローチ

　　8-4 DX のセキュリティ実現において、PDCAをどう使うか

　　8-5 CISOはDXプロジェクトにいかにして貢献するか

第9章　クラウドファーストの情報セキュリティ

　　9-1 クラウドファーストへの転換

　　9-2 クラウドサービスの主要なモデルと責任分界点

　　9-3 クラウドサービス選定時の考慮点

　　9-4 実践的な情報セキュリティ評価

　　9-5 セキュリティの主要な評価要素

　　9-6 クラウドサービスをセキュアに利用するために

第10章　情報セキュリティインシデント対応と報告

　　10-1 情報セキュリティインシデントとCSIRTの設置

　　10-2 セキュリティインシデントの推移

　　10-3 新しい領域のインシデント

　　10-4 脆弱性評価

　　10-5 CTFとインシデント対応演習

　　10-6 インシデントを想定したセキュリティ施策の評価

第11章　製品選定とベンダー選定

　　11-1 ベンダーとの対応方法

　　11-2 セキュリティソリューション検討時の留意点

　　11-3 ベンダー選定時の留意点

　　11-4 ライフサイクルにおけるベンダー評価

第12章　CISOの責務と仕事

　　12-1 CISOの役割

　　12-2 サイバーセキュリティ経営ガイドライン

　　12-3 米国におけるCISO 像：CISO COMPASSのCISO像

第13章　経営陣としてのCISOへの期待

　　13-1 CISOの役割と連携

　　13-2 経営会議での報告

　　13-3 役職などの名称について

　　13-4 財務会計部門との連携（CFO）

　　13-5 業務部門との連携（COO）

　　13-6 IT部門との連携（CIO）

　　13-7 リスク管理部門との連携（CRO）

　　13-8 総務・人事部門との連携

　　13-9 法務部門との連携

　　13-10 監査部門との連携

　　13-11 広報部門との連携

　　13-12 社外との連携

　　13-13 執行責任者としてのCISO

Annex

　　Annex A 事業計画策定例

　　Annex B CISOダッシュボード

　　Annex C 情報セキュリティ対策の標準化と自動化の流れ

　　Annex D EDC 手法を使ったセキュリティ対策効果の試算

　　Annex E Need to Know 再考

　　Annex F 新型コロナウイルス後のセキュリティ

　　Annex G セキュリティインシデントの推移

　　Annex H 情報格付け