経営層のためのサイバーセキュリティ実践入門

経営層のためのサイバーセキュリティ実践入門
生成AI、DX、コネクティビティ時代を勝ち抜くための必須スキル

ダボス会議でも重要議題となっているサイバー攻撃。自社がいつ攻撃されてもおかしくない時代に、経営者やマネジメント層が最低限知らなくてはならない基本知識を解説!

今やサイバー攻撃(不正アクセス、マルウエア、ランサムウエア、サービス妨害など)は不特定多数の企業に対して行われるようになり、特別なものではなくなっています。企業においてDX(デジタルトランスフォーメーション)が浸透し、さらにAI(人工知能)の活用が当たり前になった現在、この動きはますます加速すると予想されます。

日本企業においても、サイバー攻撃が重要な経営リスクと認識されるようになった反面、実際の対応は情報システム部門に丸投げされていることが多く、経営者やマネジメント層の関心が薄いままなのが現状です。しかし、サイバーセキュリティによる損失の発生は取締役の責任であり、もはや「知らなかった」では済まされない時代になっています。

本書は、一般企業の経営者・マネジメント層を対象に、経営層として最低限知らなくてはならないサイバーセキュリティ対策の知識をまとめた入門書です。サイバーセキュリティ対策が必要となっている背景から、経営層に求められる役割と戦略、組織づくりやシステム管理、事故が発生した際の対応(インシデントハンドリング)まで、平易な文章と豊富な図版を用いて解説し、明日からでも実践できるようになっています。業種や規模を問わず、多くの企業経営者・経営層に読んでいただきたい1冊です。

A5 判( 232 頁)
ISBN: 9784833425209

2024年02月29日発売 / 2,200円(税込)

[著]淵上真一(ふちがみ・しんいち) 
日本電気株式会社(NEC)Corporate Executive CISO 兼 サイバーセキュリティ戦略統括部長
NECセキュリティ株式会社 取締役(※2024年4月着任) 
ベンチャー系SIerにて、プログラマ、ネットワークエンジニアを経た後、学校法人にて教鞭を執る傍ら、組織のセキュリティコントロールを手がける。また、司法・防衛関連のセキュリティトレーニングに携わる。NECではサイバーセキュリティ全社統括を担当し、NECセキュリティの取締役に着任。CISSP認定機関ISC2の認定主任講師として人材育成活動も務めており、2016年には、ISC2よりアジアパシフィック地域でセキュリティの発展に貢献した一人として、ISLA Senior Information Security Professionalを受賞。
情報処理安全確保支援士集合講習認定講師、Hardening Project 実行委員、北海道大学 情報基盤センター 客員研究員、一般財団法人日本情報経済社会推進協会(JIPDEC)評議員、一般社団法人サイバー安全保障人材基盤協会(CSTIA)理事。
著書に『イラスト図解でよくわかるネットワーク&TCP/IPの基礎知識』(技術評論社、2018)がある。

目次はこちら(クリックで開きます)

目次

  • はじめに

  • 発刊に寄せて

  • 序章 サイバーセキュリティとは

  • 第1章 サイバーセキュリティの現状

  • 1-1 ビジネス環境の変化

  • 1-2 拡大するビジネスリスク

  • 第2章 経営層に求められる役割と戦略

  • 2-1 経営層に求められる役割

  • 2-1-1 『サイバーセキュリティ経営ガイドライン』から読み解く経営者の責務

  • 2-1-2 重要インフラ事業者におけるサイバーセキュリティと経営層の責任

  • 2-1-3 経営層に求められる役割(総説)

  • 2-2 役割を果たすための戦略

  • 2-2-1 NIST『Cybersecurity Framework』

  • 2-2-2 NEC におけるサイバーセキュリティ戦略策定の実践例

  • 2-3 リスクをコントロールする

  • 2-3-1 リスクの特定方法

  • 2-3-2 リスク受容の考え方

  • 2-3-3 セキュリティコントロールの考え方

  • コラム 生成AI の活用で必要なセキュリティの観点とは?

  • 第3章 実践のための組織づくり

  • 3-1 体制を整える

  • 3-1-1 サイバーセキュリティ体制の構築(組織)

  • 3-1-2 サイバーセキュリティ体制の構築(人材)

  • 3-2 実効性のある運用

  • 3-2-1 情報セキュリティリスクの考え方

  • 3-2-2 NEC グループの実践例(Three Lines Model)

  • 3-2-3 セキュリティ課題と解決へのアプローチ

  • 3-3 ガバナンスを効かせる

  • 3-3-1 サイバーセキュリティに必要なガバナンス

  • 3-3-2 NEC グループのサイバーセキュリティに関するガバナンス

  • 3-3-3 セキュリティガバナンスの課題

  • 3-4 人材の確保と育成

  • 3-4-1 セキュリティ人材を取り巻く環境

  • 3-4-2 セキュリティ人材を育成する取り組み

  • 3-4-3 現場の課題感とアプローチ

  • 3-4-4 セキュリティ専門人材のキャリアパス

  • 第4章 実践のためのシステム管理

  • 4-1 対策をデザインする

  • 4-1-1 「ゼロトラストモデル」による対策の必然性

  • 4-1-2 データドリブンでのセキュリティ対策

  • 4-2 対策のための情報収集

  • 4-2-1 サイバーセキュリティ対策における情報収集(全体像)

  • 4-2-2 サイバーセキュリティ対策における情報収集(各論)

  • 4-3 対策を維持する

  • 4-3-1 セキュリティ対策の維持と脆弱性管理

  • 4-3-2 脆弱性ハンドリング(パッチ適用)の考え方と対応

  • 第5章 インシデントハンドリング

  • 5-1 インシデントハンドリングとは

  • 5-2 インシデントハンドリングのプロセス

  • 5-2-1 ①準備

  • 5-2-2 ②検知と分析

  • 5-2-3 ③封じ込め・根絶・復旧

  • 5-2-4 ④事件後の対応

  • 5-2-5 レピュテーションリスク対策

  • 5-3 インシデントから学ぶ

  • 5-3-1 経験から得られる学びと失敗のケーススタディ

  • 5-3-2 ランサムウェア事例①

  • 5-3-3 ランサムウェア事例②

  • 5-3-4 インシデント事例からの学び

  • おわりに