本書は来月2日発売予定の新刊書、これも著者から送られてきたものだ。400ページ弱の中に、現在の企業情報セキュリティの全てが詰まっている書といっても過言ではない。日本ネットワークセキュリティ協会(JNSA)は、サイバーセキュリティ業界の老舗団体。サイバーセキュリティは今でこそ当たり前の分野だが、初期のころはコンピュータエンジニアの中でもネットワークエンジニアだけの狭い(マニアックな)世界だった。だから、ネットワーク系からこの世界に入った人は多い。本書の執筆者は10名あまり、JNSAのCISO支援WGのメンバーが中心だ。
本書のタイトルにもなっているCISO(Chief Information Security Officer)はデジタル産業系企業では当たり前の役員、CIO(Chief Information Officer)が常務なのにCISOは専務・副社長といった企業もあるほど重要な役職だ。CIOが自社のDXを進めるアクセルの役目なら、CISOはそこに潜むリスクをあぶりだし、時にはブレーキの役目をしなくてはならない。
日本の一般企業ではまだ設置していなかったり、名目上他の役員が兼務するケースも目立つ。その理由のひとつは「CISOって何するんだっけ?」の詳細が分かっていないこと。本書は、それを一から丁寧に説明してくれるハンドブックである。筆頭著者の高橋正和氏とは10年来の付き合いで、あるデジタル企業の日本法人におられたときに何度も公開イベントでご一緒している。彼によれば本書は、
・経営会議向け資料を作るヒナ型に
・技術担当がCISOになる際のヒントとして
・セキュリティの理解が不十分なCISOの助けとして
・ビジネスに沿ったセキュリティ計画や事業継続計画策定のために
使ってほしいとのこと。最新の「ゼロ・トラスト」の概念や外部サービス(クラウド等)を使う際の留意事項から、過去のサイバー攻撃の実例まで幅広い知識が得られ、それに対応する組織はどうあるべきで、CISOとそのチームがどう実践すればいいかが1冊で分かる内容になっている。
ただこの400ページは重い(物理的にも内容的にも)ので、通しで読むと疲れてしまうでしょう。必要な時、必要に応じてページをめくるのがいいでしょうね。それも本書にある「Need to Know」と思ってはいかがでしょうか。
