セキュリティコンサルタントの日誌から

セキュリティに関するエッセイなど

CISOの役割とは?(2019年度版)

以前の記事でCISOの役割という記事を書きました。

しかし、最近いくつかドキュメントを読み少し更新できること、また以前紹介したCISO Mind Mapの日本語を作成したのでそれを紹介したいと思います。

www.scientia-security.org

CISOに関するフレームワーク

前回の記事でも書きましたが、CISOの役割は様々あります。端的に言ってしまえば、以下の3点を持っていれば最強のCISOになれるでしょう。

  • 要件1:ビジネスがわかる(CEO的役割)
  • 要件2:技術がわかる(CTO的役割)
  • 要件3:セキュリティがわかる(GRC的役割)

しかしそれではCISOが何をすべきかわからないため、最新のフレームワークについて詳しく見ていきましょう。いろんなフレームワークがありますが、組織にあうフレームワークを選べばよいと思います。

フレームワーク1:CISO Mind Map

前回も紹介しましたが、一番有名なものはRafeeq Rehman氏のブログで提唱しているCISO Mind Mapでしょう。毎年更新されており、彼の最新ブログを読むと、さらにその役割は拡大しているようです。最新版(v10)は、以下に存在します。rafeeqrehman.com

2018年の資料では、大きく11種類の分野について考慮しなければならないと述べています。

  1. Governance
  2. Security Operation
  3. Identity and Access Management
  4. Risk Management
  5. Legal & Human Resource
  6. Compliance & Audit
  7. Security Architecture
  8. Budget
  9. Project Delivery Lifecycle
  10. Business Enablement
  11. Selling Inforsec to Internal

但し、少し網羅的であり、プレゼンテーションには少し難しいため、様々な形でポスター化されています。

CISO Mind Map v10 日本語版

CISO Mind Mapの日本語版がないので、2018年度版(v10)で作成してみました。(但し、他のバージョンに揃えて、基本的に大項目のみを載せています)

ご自由にお使いください。

f:id:security_consultant:20190117224853j:plain

PDF版が欲しい方はこちらよりダウンロードしてください。

www.slideshare.net

CISO Mind Map Poster

プレゼンテーション用であれば、以下の3つが有名です。

但し、少しバージョンが古かったり、定義が異なるため注意が必要です。

例えば、SANS版では、7つのドメインを定義している様子です。

  1. Security Operation
  2. Legal & Regulatory
  3. Business Enablement
  4. Identity and Access Management
  5. Risk Management
  6. Governance
  7. Leadership Skills

フレームワーク2:C|CISO by EC Council(再掲)

EC Councilは、CEH(Certified Ethical Hacker)というペネトレーション系資格で有名ですが、彼らが出している資格の一つにCISO向けの資格があります。この資格の有効性は受験したことがないためわかりませんが、CISOが知っておくべきという内容を体系立てたという点では非常に有益な資料だと思います。

これによると、5つのドメインを学ぶ必要があります。

  1. Domain 1: Governance
  2. Domain 2: Security Risk Management, Controls, & Audit Management
  3. Domain 3: Security Program Management & Operations
  4. Domain 4: Information Security Core Concepts
  5. Domain 5: Strategic Planning, Finance, & Vendor Management

フレームワーク3:CISSP-ISSMP by (ISC)2(再掲)

もう一つに、CISSPの上位資格であるCISSP-ISSMPが挙げられます。こちらでも、5つのドメインについて定義されています。

  1. Domain 1 : Security Leadership and Management
  2. Domain 2 : Security Lifecycle Management
  3. Domain 3 : Security Compliance Management
  4. Domain 4 : Contingency Management
  5. Domain 5 : Law, Ethics and Incident Management

フレームワーク4:セキュリティの7S

セキュリティの観点から組織を記述する方法として、マッキンゼーの7Sを応用するという考え方があります。

tech.nikkeibp.co.jp

CISOの役割は、組織のセキュリティを強化することです。言い換えれば、組織マネジメントを表す7Sを改善していくべきといえます。

  • Strategy(戦略)
  • Structure(組織)
  • System(システム)
  • Skill(スキル)
  • Staff(人材)
  • Style(スタイル・社風)
  • Shared Value(価値観)

フレームワーク5:CISO Periodic Table

CISO Periodic Table(CISO周期表)とは、Optiv社が作成したフレームワークです。

まだあまり知られていませんが、非常に面白いフレームワークだと思います。

フレームワーク6:Gartner社のフレームワーク

Gartner社も「A Step-by-Step Guide to Becoming a CISO」という調査資料で、CISOが持つべき知識と役割(CISO: Important Skill Sets and Knowlege Requirements)を述べています。Gartnerにアクセスできる人は本資料を一度見ることを推奨します。

Gartner社によると4ドメインを定義しています。

  • Domain 1: Technical
    • Technical Knowledge
    • Risk Management
  • Domain 2: Operational
    • Operational Management
    • Risk Management
  • Domain 3: Business
    • Business Knowlege
    • Strategic Planning
  • Domain 4: Leadership
    • Team Leadership
    • Psychology & Sociology
    • Strategic Planning
    • Political Influence
    • Effective Communication

上記のフレームワークで一番面白いのは、Political Influenceについて明確に定義していることだと思います。Gartner社では別の調査資料(Develop the Skills of the Contemporary CISO)で、以下の7点のスキルを持つべきと挙げています(日本語は、私が勝手にまとめたものなので、Gartner社の見解と異なる可能性があります。)

  • Patience(忍耐強く取り組むこと)
  • Perseverance(根気よく取り組み、あきらめないこと)
  • Pragmatism(理想主義にならず、現実的であること)
  • Realism(称賛を期待しないこと)
  • Helpfulness(助けるマインドセットを持つこと)
  • Caution(決定とその結果を意識して記録し、注意深くあること)
  • Leverage(人脈を活用すること)

フレームワーク7:CISO Organizational Structure

カーネギーメロン大学 ソフトウェア工学研究所(Carnegie Mellon University Software Engineering Institute)は、CISO Organizational Strucutreに関する論文「Structuring the Chief Information Security Officer Organization」を発表しています。

これによれば、CISOは、以下の組織形態を持つべきとしています。言い換えれば、これがCISOが管理すべき組織であり、管理すべきエリアということになります。

f:id:security_consultant:20190112171520p:plain

CISOの教科書的ドキュメント

CISOの教科書的資料は、あまり多くはありません。現時点で使える資料を紹介します。

CISO Compass 

一つの有名な書籍として、CISO Compassという書籍があります。

CISO COMPASS: Navigating Cybersecurity Leadership Challenges with Insights from Pioneers

CISO COMPASS: Navigating Cybersecurity Leadership Challenges with Insights from Pioneers

 

CISOの役割を、マッキンゼーの7Sフレームワークを軸に解説しています。一読した印象とすると、テクニカルな解説はそこまで多くなく、どちらかというと法規制やプロジェクトの進め方、CISOが取るべき姿勢などに集中して書かれています。また、この本の特徴として、多くのCISOのインタビューを載せています。そのため、初めてCISOになる上では非常によい教科書になると思います。

JNSA CISOハンドブック

日本でも、CISO(Chief Information Security Officer)の役割は認知されつつあり、JNSA(日本ネットワークセキュリティ協会)からもCISOハンドブックが公表されています。

CISOに関する日本語の資料はあまりないので貴重な資料になると考えています。

 

www.jnsa.org

Virtual CISO

一方、米国のトレンドを見るとVirtual CISO(vCISO)という概念が出てきています。

Gartnerの資料(Can You, and Should You, Bring in a Virtual CISO?)によれば、「常勤担当者の任命、短期的な戦術要件への対応、またはスタッフの能力育成が難しい場合の解決策として、バーチャルCISOの採用を検討する」と指摘しています。実際、有名なセキュリティベンダーであるRapid7やTrustedSecもサービスを提供しているようです。 

www.rapid7.com

www.trustedsec.com

しかし、「ビジネスを正確に把握する必要がある」ことや「内部の人間として振る舞うこと」など色々な要求事項が掲げられている一方、CISOはビジネスや社内政治などにも関与する必要があり、果たしてそこまでサービスとして実行できるか否かは難しいでしょう。

特に日本企業の場合、終身雇用がいまだ前提であり、各企業によって企業文化が相当異り、プロパー社員が重宝されるような環境の場合、vCISOのようなコンサルタントがうまく立ち振る舞うのは難しいと思います。もし日本でサービス提供するとなれば、社内でCISOを立ててもらい、「CISO支援」という形でセキュリティコンサルタントを常駐させて、参謀として動くパターンが一般的になるかと思います。(逆に、海外の場合はCISOを外から連れてきたり変わることも多いので、vCISOという概念は馴染むのかもしれません)

まとめ

2018年9月において、三菱UFJフィナンシャルグループ(MUFG)がCISOを設置したことがニュースになりました。今後、CISOを設置するという企業は増えてくるでしょう。

www.nikkei.com

CISOの役割は今後も非常に重要となりますので、この記事が参考になれば幸いです。