CISOハンドブック 業務執行のための情報セキュリティ実践ガイド

CISOハンドブック セキュリティ× 経営者本。 CISOでなくても企業経営に資するセキュリティを実現していくにあたり押さえておくべき知識や考え方，観点を広く浅く知ることができる． 経営に寄与するための思考や論点を身につけることができるという意味ではCISOだけでなく，CISOとやりとりするセキュリティ部門の人や，CISOを顧客にするコンサルタント，営業などが読んでも役に立つだろう． ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ セキュリティ　ブランドイメージ向上の一石 ドラッカーの4種のコスト 生産 補助 監視 浪費 セキュリティは監視コストや補助コストに該当。 ■多層防御の考え方 物理→ポリシー→認証→NW→内部NW→エンドポイント→アプリ→データ 改善を考えるときはECRSの順で。 やめる→結合→置き換え→自動化 広告の効果測定　DAGMARモデル →広告業界のフレームワークをセキュリティの浸透に応用。 「マーケティング大全」 購買プロセスの5段階モデル ニーズを引き起こす ニーズを満たす方法を調査する ニーズを満たす方法を比較する 他人の評価などを参考に購入を決める 自身の判断の正しさを検証する CISコントロールズ　 「最初に行わなければいけない対策」　ボトムアップ CSに関する法規制 ・サイバー犯罪を取り締まるもの ・組織が果たすべき責務を規定するもの 財務諸表には3つの読み方がある ・銀行/格付け会社目線　安定性 ・経営者目線　収益性・成長性 ・投資家目線　資本効率性 財務会計と管理会計 どちらも，投資に対するリターンの大きさを測る値 ROI=利益/資本 = 利益率＊回転率 *経営者向け ROE = 経常利益/純資産 = 売上高計上利益率＊純資産回転率　*投資家向け KPIはそれ自体が意味を持つものではない。計画通りにいかないことをいち早く知るためのモノ。 "リスクを減らすのではなく合理的にリスク受容するためのセキュリティ" 株式 1/2 経営権 2/3 支配権 1/3 拒否権 バランストスコアカード 評価指標 C2M2 セキュリティ計画の全般的評価 年1評価、M&A、IT基盤刷新などに対応　費用対効果重視 CIS control 技術　具体 TLTP 攻撃者視点 レッドチーム活動を標準化 PDCAはCから始める セキュリティアーキテクチャ　最低限の検討事項 IAAA 識別、認証、認可、監査 SABSA COBIT TOGAF https://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ CISコントロール日本語版、isoクラウド Mirai 2000年、IoTを狙ったボットネット、脆弱なルーターを乗っ取ってDDoS ベンダー選定の留意点　｀274 ・製品サポート期間 ・脆弱性公開方針 ・製品の品質調査 ・事業継続性 ・カントリーリスク 販売会社・代理店選定 ・ソリューション取扱形態（技術サポート有無，排他的か） ・日本語サポート・サポート窓口 ・導入支援 SIer（複数製品を組み合わせたソリューションを提案しやすい立場） →”オレンジジューステスト” 事業計画＝簡単にいうと以下の構成（シリコンバレー流　ビジネスを成功させる7つの質問より） 1．あなたの製品反バニか 2．顧客は誰か 3．誰が売るのか 4．どれだけの人が買うのか 5．コストはいくらか（イニシャル・ランニング） 6．価格はいくらか 7．黒字転換はいつか →グラフプロット CISOダッシュボード ポリシーの遵守率→対策の進捗把握には使えるが，直面する脅威の把握は難しい Attack condition　どの程度の攻撃に直面しているか Protection condition対策状況は進捗通りか Suspecious activity　侵入を許したか，その可能性があるか Indirect activity: 間接的懸念事項（PC紛失など） SCAP セキュリティ設定共通化手順 セキュリティ対策効果推定　p329 ワーム：独立したプログラム ウイルス：メールや外部メディアに寄生 P348 マルウェアの分類 目的を軸にする分類，マルウェア利用方法に対する呼び方の分類 マネーロンダリング： アルカポネがコインランドリー経営で正規の収入に見せかけたのがきかっけ