以前の記事でCISOの役割という記事を書きました。
しかし、最近いくつかドキュメントを読み少し更新できること、また以前紹介したCISO Mind Mapの日本語を作成したのでそれを紹介したいと思います。
CISOに関するフレームワーク
前回の記事でも書きましたが、CISOの役割は様々あります。端的に言ってしまえば、以下の3点を持っていれば最強のCISOになれるでしょう。
- 要件1:ビジネスがわかる(CEO的役割)
- 要件2:技術がわかる(CTO的役割)
- 要件3:セキュリティがわかる(GRC的役割)
しかしそれではCISOが何をすべきかわからないため、最新のフレームワークについて詳しく見ていきましょう。いろんなフレームワークがありますが、組織にあうフレームワークを選べばよいと思います。
フレームワーク1:CISO Mind Map
前回も紹介しましたが、一番有名なものはRafeeq Rehman氏のブログで提唱しているCISO Mind Mapでしょう。毎年更新されており、彼の最新ブログを読むと、さらにその役割は拡大しているようです。最新版(v10)は、以下に存在します。rafeeqrehman.com
2018年の資料では、大きく11種類の分野について考慮しなければならないと述べています。
- Governance
- Security Operation
- Identity and Access Management
- Risk Management
- Legal & Human Resource
- Compliance & Audit
- Security Architecture
- Budget
- Project Delivery Lifecycle
- Business Enablement
- Selling Inforsec to Internal
但し、少し網羅的であり、プレゼンテーションには少し難しいため、様々な形でポスター化されています。
CISO Mind Map v10 日本語版
CISO Mind Mapの日本語版がないので、2018年度版(v10)で作成してみました。(但し、他のバージョンに揃えて、基本的に大項目のみを載せています)
ご自由にお使いください。
PDF版が欲しい方はこちらよりダウンロードしてください。
CISO Mind Map Poster
プレゼンテーション用であれば、以下の3つが有名です。
但し、少しバージョンが古かったり、定義が異なるため注意が必要です。
例えば、SANS版では、7つのドメインを定義している様子です。
- Security Operation
- Legal & Regulatory
- Business Enablement
- Identity and Access Management
- Risk Management
- Governance
- Leadership Skills
フレームワーク2:C|CISO by EC Council(再掲)
EC Councilは、CEH(Certified Ethical Hacker)というペネトレーション系資格で有名ですが、彼らが出している資格の一つにCISO向けの資格があります。この資格の有効性は受験したことがないためわかりませんが、CISOが知っておくべきという内容を体系立てたという点では非常に有益な資料だと思います。
これによると、5つのドメインを学ぶ必要があります。
- Domain 1: Governance
- Domain 2: Security Risk Management, Controls, & Audit Management
- Domain 3: Security Program Management & Operations
- Domain 4: Information Security Core Concepts
- Domain 5: Strategic Planning, Finance, & Vendor Management
フレームワーク3:CISSP-ISSMP by (ISC)2(再掲)
もう一つに、CISSPの上位資格であるCISSP-ISSMPが挙げられます。こちらでも、5つのドメインについて定義されています。
- Domain 1 : Security Leadership and Management
- Domain 2 : Security Lifecycle Management
- Domain 3 : Security Compliance Management
- Domain 4 : Contingency Management
- Domain 5 : Law, Ethics and Incident Management
フレームワーク4:セキュリティの7S
セキュリティの観点から組織を記述する方法として、マッキンゼーの7Sを応用するという考え方があります。
CISOの役割は、組織のセキュリティを強化することです。言い換えれば、組織マネジメントを表す7Sを改善していくべきといえます。
- Strategy(戦略)
- Structure(組織)
- System(システム)
- Skill(スキル)
- Staff(人材)
- Style(スタイル・社風)
- Shared Value(価値観)
フレームワーク5:CISO Periodic Table
CISO Periodic Table(CISO周期表)とは、Optiv社が作成したフレームワークです。
まだあまり知られていませんが、非常に面白いフレームワークだと思います。
フレームワーク6:Gartner社のフレームワーク
Gartner社も「A Step-by-Step Guide to Becoming a CISO」という調査資料で、CISOが持つべき知識と役割(CISO: Important Skill Sets and Knowlege Requirements)を述べています。Gartnerにアクセスできる人は本資料を一度見ることを推奨します。
Gartner社によると4ドメインを定義しています。
- Domain 1: Technical
- Technical Knowledge
- Risk Management
- Domain 2: Operational
- Operational Management
- Risk Management
- Domain 3: Business
- Business Knowlege
- Strategic Planning
- Domain 4: Leadership
- Team Leadership
- Psychology & Sociology
- Strategic Planning
- Political Influence
- Effective Communication
上記のフレームワークで一番面白いのは、Political Influenceについて明確に定義していることだと思います。Gartner社では別の調査資料(Develop the Skills of the Contemporary CISO)で、以下の7点のスキルを持つべきと挙げています(日本語は、私が勝手にまとめたものなので、Gartner社の見解と異なる可能性があります。)
- Patience(忍耐強く取り組むこと)
- Perseverance(根気よく取り組み、あきらめないこと)
- Pragmatism(理想主義にならず、現実的であること)
- Realism(称賛を期待しないこと)
- Helpfulness(助けるマインドセットを持つこと)
- Caution(決定とその結果を意識して記録し、注意深くあること)
- Leverage(人脈を活用すること)
フレームワーク7:CISO Organizational Structure
カーネギーメロン大学 ソフトウェア工学研究所(Carnegie Mellon University Software Engineering Institute)は、CISO Organizational Strucutreに関する論文「Structuring the Chief Information Security Officer Organization」を発表しています。
これによれば、CISOは、以下の組織形態を持つべきとしています。言い換えれば、これがCISOが管理すべき組織であり、管理すべきエリアということになります。
CISOの教科書的ドキュメント
CISOの教科書的資料は、あまり多くはありません。現時点で使える資料を紹介します。
CISO Compass
一つの有名な書籍として、CISO Compassという書籍があります。
CISO COMPASS: Navigating Cybersecurity Leadership Challenges with Insights from Pioneers
- 作者: Todd Fitzgerald
- 出版社/メーカー: Auerbach Publications
- 発売日: 2018/11/30
- メディア: ハードカバー
- この商品を含むブログを見る
CISOの役割を、マッキンゼーの7Sフレームワークを軸に解説しています。一読した印象とすると、テクニカルな解説はそこまで多くなく、どちらかというと法規制やプロジェクトの進め方、CISOが取るべき姿勢などに集中して書かれています。また、この本の特徴として、多くのCISOのインタビューを載せています。そのため、初めてCISOになる上では非常によい教科書になると思います。
JNSA CISOハンドブック
日本でも、CISO(Chief Information Security Officer)の役割は認知されつつあり、JNSA(日本ネットワークセキュリティ協会)からもCISOハンドブックが公表されています。
CISOに関する日本語の資料はあまりないので貴重な資料になると考えています。
Virtual CISO
一方、米国のトレンドを見るとVirtual CISO(vCISO)という概念が出てきています。
Gartnerの資料(Can You, and Should You, Bring in a Virtual CISO?)によれば、「常勤担当者の任命、短期的な戦術要件への対応、またはスタッフの能力育成が難しい場合の解決策として、バーチャルCISOの採用を検討する」と指摘しています。実際、有名なセキュリティベンダーであるRapid7やTrustedSecもサービスを提供しているようです。
しかし、「ビジネスを正確に把握する必要がある」ことや「内部の人間として振る舞うこと」など色々な要求事項が掲げられている一方、CISOはビジネスや社内政治などにも関与する必要があり、果たしてそこまでサービスとして実行できるか否かは難しいでしょう。
特に日本企業の場合、終身雇用がいまだ前提であり、各企業によって企業文化が相当異り、プロパー社員が重宝されるような環境の場合、vCISOのようなコンサルタントがうまく立ち振る舞うのは難しいと思います。もし日本でサービス提供するとなれば、社内でCISOを立ててもらい、「CISO支援」という形でセキュリティコンサルタントを常駐させて、参謀として動くパターンが一般的になるかと思います。(逆に、海外の場合はCISOを外から連れてきたり変わることも多いので、vCISOという概念は馴染むのかもしれません)
まとめ
2018年9月において、三菱UFJフィナンシャルグループ(MUFG)がCISOを設置したことがニュースになりました。今後、CISOを設置するという企業は増えてくるでしょう。
CISOの役割は今後も非常に重要となりますので、この記事が参考になれば幸いです。