CISOハンドブック――業務執行のための情報セキュリティ実践ガイド（技術評論社） [電子書籍]

CISOハンドブック――業務執行のための情報セキュリティ実践ガイド（技術評論社） の 商品概要

• 2021/12/8紙版の2刷に対応するため更新しました。
  
  企業はDX（デジタルトランスフォーメーション）によって変化しなければならない，しかしIT化すればするほど情報セキュリティの問題が発生！　業者に頼めばいいのか……，いや継続的に情報セキュリティの問題は起きてしまうだろう……。そう，企業がIT化を進めDXを促進すると，情報セキュリティが生命線になることは避けられないのが本当のところです。そこで欧米では技術職の視点をもった経営陣の一人としてCISO（Chief Information Security Officer）の役職が誕生しました。情報セキュリティ問題に悩むあらゆる企業の担当者の皆さんのために，本書はCISOがすべき情報セキュリティの問題解決方法を最新の情報をもとにまとめあげました。
  

• 目次

  第1章　情報セキュリティの目的 1
  1-1 CISOの役割とは何か
  1-2 ビジネスリスクと情報セキュリティ
  1-3 情報セキュリティリスクにかかわる3つの立場（3線モデル：Three Lines of Defense Model）
  第2章　情報セキュリティマネジメントの基礎知識
  2-1 情報セキュリティマネジメントの基礎知識
  2-2 情報セキュリティ計画実施モデル
  2-3 経営サイクルと情報セキュリティマネジメントサイクル
  2-4 マネジメントサイクルに沿った報告
  第3章　基本となる経営指標
  3-1 CISOのための財務諸表の読み方
  3-2 経営における「数字」の重要性
  3-3 財務会計49
  3-4 貸借対照表の見方
  3-5 短期的な支払い能力の評価
  3-6 長期的な支払い能力の評価
  3-7 財務の健全性の評価
  3-8 管理会計
  3-9 財務健全性と投資収益性を比較する
  3-10 経営指標を現場に展開する（オムロン株式会社の例）
  3-11 ファイナンス
  3-12 ファイナンスの基本的な考え方
  3-13 会社法と資本比率
  第4章　情報セキュリティの指標化
  4-1 情報セキュリティの指標化
  4-2 コストとしての情報セキュリティ
  4-3 情報セキュリティ指標を経営の数字に展開
  第5章　モニタリングと評価手法
  5-1 モニタリングに基づいた施策の評価
  5-2 組織情報のセキュリティ成熟度評価
  5-3 実装レベルのモニタリング
  5-4 サイバー攻撃への対応能力評価
  第6章　情報セキュリティ監査
  6-1 情報セキュリティ監査の目的
  6-2 セキュリティ監査の分類と目的
  6-3 内部監査人の選択方法
  6-4 外部監査人の選択方法
  6-5 CISOは監査報告書を受け取ったら何をすれば良いか
  第7章　情報セキュリティアーキテクチャ
  7-1 アーキテクチャの重要性
  7-2 情報セキュリティアーキテクチャの基本要素
  7-3 エンタープライズセキュリティアーキテクチャ（ESA）
  7-4 ゼロトラスト
  7-5 「トラストがゼロ」の背景
  7-6 ゼロトラストアーキテクチャ
  7-7 ゼロトラストアーキテクチャの論理的構成要素
  7-8 ゼロトラストアーキテクチャで防げない攻撃
  7-9 継続的な技術動向の把握
  第8章　DXと情報セキュリティ
  8-1 デジタルトランスフォーメーション（DX）の目的は事業変革
  8-2 DXとテクノロジー
  8-3 OODA，アジャイル，DevOpsのアプローチ
  8-4 DX のセキュリティ実現において，PDCAをどう使うか
  8-5 CISOはDXプロジェクトにいかにして貢献するか
  第9章　クラウドファーストの情報セキュリティ
  9-1 クラウドファーストへの転換
  9-2 クラウドサービスの主要なモデルと責任分界点
  9-3 クラウドサービス選定時の考慮点
  9-4 実践的な情報セキュリティ評価
  9-5 セキュリティの主要な評価要素
  9-6 クラウドサービスをセキュアに利用するために
  第10章　情報セキュリティインシデント対応と報告
  10-1 情報セキュリティインシデントとCSIRTの設置
  10-2 セキュリティインシデントの推移
  10-3 新しい領域のインシデント
  10-4 脆弱性評価
  10-5 CTFとインシデント対応演習
  10-6 インシデントを想定したセキュリティ施策の評価
  第11章　製品選定とベンダー選定
  11-1 ベンダーとの対応方法
  11-2 セキュリティソリューション検討時の留意点
  11-3 ベンダー選定時の留意点
  11-4 ライフサイクルにおけるベンダー評価
  第12章　CISOの責務と仕事
  12-1 CISOの役割
  12-2 サイバーセキュリティ経営ガイドライン
  12-3 米国におけるCISO 像：CISO COMPASSのCISO像
  第13章　経営陣としてのCISOへの期待
  13-1 CISOの役割と連携
  13-2 経営会議での報告
  13-3 役職などの名称について
  13-4 財務会計部門との連携（CFO）
  13-5 業務部門との連携（COO）
  13-6 IT部門との連携（CIO）
  13-7 リスク管理部門との連携（CRO）
  13-8 総務・人事部門との連携
  13-9 法務部門との連携
  13-10 監査部門との連携
  13-11 広報部門との連携
  13-12 社外との連携
  13-13 執行責任者としてのCISO
  Annex
  Annex A 事業計画策定例
  A-1 事業計画の位置付け
  A-2 資格制度を導入した場合の試算（サブスクリプション）
  A-3 事業計画1-4の評価
  Annex B CISOダッシュボード
  B-1 CISOダッシュボード
  B-2 情報セキュリティ事故の説明責任
  Annex C 情報セキュリティ対策の標準化と自動化の流れ
  Annex D EDC 手法を使ったセキュリティ対策効果の試算
  D-1 EDC 手法の導入
  D-2 EDC 手法による対策案の最適解算出手順
  D-3 対策リストの策定
  Annex E Need to Know 再考
  E-1 すべての会話と知識を検索可能にする
  Annex F 新型コロナウイルス後のセキュリティ
  F-1 業務形態の変化とCISO に求められる役割
  F-2 セキュリティ対策
  F-3 情報格付けと情報の取り扱い
  F-4 規定とセキュリティポリシー
  F-5 企業活動の基盤としてのコミュニケーション
  F-6 成果の定義と評価
  F-7 企業文化と教育
  Annex G セキュリティインシデントの推移
  G-1 サイバー攻撃の変化と潮流
  G-2 マルウェアの誕生（1990年代以前）
  G-3 インターネットワーム（モリスワーム）
  G-4 Mellisa とメール型ウイルス
  G-5 現実化したDDoS攻撃（2000年前後）
  G-6 日本における省庁Web改ざん（日本のネットワークセキュリティの起点）
  G-7 CodeRedに始まるワーム事件
  G-8 ボットネットとサイバー犯罪
  G-9 標的型攻撃
  G-10 ランサムウェア
  G-11 ビジネスメール詐欺（BEC）
  G-12 攻撃の背景にあるエコシステム（アンダーグラウンドフォーラム）
  G-13 脆弱性報告に対する報償プログラム
  G-14 情報セキュリティ早期警戒パートナーシップ
  G-15 まとめ
  Annex H 情報格付け
  H-1 情報格付け統一基準
  H-2 日本政府における格付け
  H-3 英国政府における格付け
  H-4 日英の違いとそのポイント
  

CISOハンドブック――業務執行のための情報セキュリティ実践ガイド（技術評論社） の商品スペック