経営者のための 情報セキュリティQ&A45 北條 孝佳(編集) - 日本経済新聞出版社 【利用不可】
書店員向け情報 HELP
書店注文情報
経営者のための 情報セキュリティQ&A45
- 書店発売日
- 2019年11月6日
- 登録日
- 2019年10月17日
- 最終更新日
- 2019年10月30日
紹介
オリパラ前のサイバー攻撃に備えよ! 警察庁サイバーテロ対策技術室出身の弁護士が、把握すべきリスク・課題と実践的な対策を徹底指南。
いまや、情報セキュリティ対策は、企業のトップが陣頭指揮する時代です。経営者のあいだでも、サイバーセキュリティが経営にとって重要な課題であるとの認識が広がりつつあります。しかし、従来の解説書は技術的な解説に偏ったものが多く、経営者層は何を把握し、どういった対策を講じればよいのかを解説した本は皆無と言えます。
東京オリンピック・パラリンピックを前に、政府は重要インフラをターゲットとしたサイバー攻撃への対策を指示。法整備も進めています。
政府機関のみならず、企業や団体もこれまで以上の対策を講じようとしています。
本書は、こうした動きを踏まえ、組織のトップが知っておくべき最低限の知識をQ&A形式でコンパクトにまとめました。
編著者は、警察庁サイバーテロ対策技術室で企業・団体等への攻撃を最前線で分析してきたプロ。技術と法律・制度に通じた弁護士が中心となり、法的リスクを含む企業の課題をわかりやすく説明します。
【執筆者一覧】
鳥越 真理子
NRIセキュアテクノロジーズ(株)・上級セキュリティコンサルタント
防衛省航空自衛隊、優成監査法人を経て、(株)野村総合研究所入社。現在、NRIセキュアテクノロジーズ(株)に出向中。システム監査・保証(SOC1/SOC2)、ITガバナンス、情報セキュリティマネジメント、内部統制、インシデント対応などに関する多くの監査・コンサルティング実績を持つ。CISA、CISM、CGEIT、システム監査技術者。
萩原 健太
グローバルセキュリティエキスパート(株)CSO兼CSRO
CSIRTをはじめとした組織的なセキュリティ対策の助言や講演活動を数多く行い、サイバーセキュリティの普及や業界発展のための活動を行う。日本シーサート協議会副運営委員長、日本ネットワークセキュリティ協会幹事、コンピュータソフトウェア協会セキュリティ委員会副委員長、Software ISACのリーダーなどを務める。
伊藤 太一
神戸地方裁判所姫路支部刑事部判事補
大阪地方裁判所で刑事事件を1年、民事事件を2年担当し、札幌地方裁判所で破産・執行・保全等を2年担当した後、弁護士として2年間勤務後現職。OWASP KansaiのLocal chapter board member、総関西サイバーセキュリティLT大会に常連出場するなどセキュリティと法律・社会の交差点を検討している。
山岡 裕明
八雲法律事務所・代表弁護士
情報法を専門とし、企業のサイバーセキュリティ対応、知的財産紛争、システム紛争、ドメイン紛争を中心に扱う。カリフォルニア大学バークレー校客員研究員、NISCサイバーセキュリティ関係法令の調査検討等を目的としたタスクフォース構成員を務める。サイバーセキュリティに関する論文を多数執筆。
目次
プロローグ
第1章 リスクの話――インシデントを想定した備え
Q01 企業におけるリスクとは何ですか? リスクの種類は何がありますか?
Q02 リスク管理と危機管理の違いは何ですか?
Q03 リスクをコントロールするにはどうすればよいですか?
Q04 情報セキュリティに係る内部監査、外部監査とは何ですか?
Q05 情報セキュリティリスクの洗い出しはどうすればよいですか?
第2章 組織の話――体制の構築と運用
Q06 サイバー攻撃はなぜ防げないのですか?
Q07 企業規模を問わず情報セキュリティ対策は必要ですか?
Q08 情報セキュリティ体制はどのように構築すればよいですか?
Q09 即応態勢の整備はどうすればよいですか?
Q10 サイバー攻撃の被害に気づく工夫は何ですか?
Q11 インターネットにおける炎上にはどんな対策がありますか?
Q12 新たなITサービスを提供するに際し、気をつけるべき点は何ですか?
Q13 IoT機器の導入で気をつけるべき点は何ですか?
第3章 ヒトの話――人材育成と人材不足への対応
Q14 どのようなセキュリティ人材が必要とされていますか?
Q15 経営者として人材育成にどう関わればよいですか?
Q16 限られた人員でできる(やるべき)ことは何ですか?
Q17 外部委託について留意すべき点は何ですか?
第4章 データの話――重要性と管理
Q18 データを保護する必要性は何ですか?
Q19 データの管理はどうすればよいですか?
Q20 サイバー攻撃で盗まれた情報はどうなるのですか?
Q21 機密情報はどう保護すればよいですか?
Q22 GDPRのために何をすればよいですか?
第5章 内部の話――企業不祥事・不正への対策
Q23 内部不正によるインシデントはどうして発生するのですか?
Q24 内部不正は防ぐにはどうすればよいですか?
Q25 内部不正による情報セキュリティインシデントが発生した場合、まず何をすべきですか?
Q26 内部不正をした従業員等へは何をすればよいですか?
Q27 モニタリングはどこまでしてもよいのですか?
第6章 責任の話――被害発生と法的関係
Q28 サイバー攻撃の被害に遭ったら何をすればよいですか? どんな被害や損害がありますか?
Q29 サイバー保険に入っておけば大丈夫ですか?
Q30 サイバー攻撃の被害者なのに謝罪は必要ですか?
Q31 サイバー攻撃の被害企業の責任が問われた裁判例はありますか?(1)
Q32 サイバー攻撃の被害企業の責任が問われた裁判例はありますか?(2)
Q33 情報セキュリティインシデントに関連して経営者の責任が問われますか?
Q34 企業や経営者に対する法的責任にはどのようなものがありますか?
第7章 国家の話――政府の政策と海外動向
Q35 サイバーセキュリティ基本法とは何ですか?
Q36 サイバーセキュリティ経営ガイドラインとは何ですか?
Q37 企業の情報セキュリティ対策に係る規制はありますか?
Q38 海外における注意すべき規制はありますか?
Q39 セキュリティ対策の情報共有が重視される理由は何ですか?
Q40 サイバー犯罪の種類と最近の摘発事例は何がありますか?
Q41 サイバー攻撃の犯人を捕まえるのはなぜ難しいのですか?
第8章 お金の話――税制支援とコストから投資へ
Q42 情報セキュリティ対策への国からの補助はありますか?
Q43 情報セキュリティ対策費用の適正額はいくらですか?
Q44 情報セキュリティ対策はコストではないのですか?
Q45 セキュリティ対策製品の導入で注意すべき点は何ですか?
おわりに
コラム
・リスク特定や分類のためのフレームワーク
・情報セキュリティにおける体制と態勢の違い
・リスクの意味の変遷
・内部通報制度
・ハインリッヒの法則
・雪印食品の牛肉偽装事件
・攻撃者から狙われにくくするための対策
・情報セキュリティインシデントと情報セキュリティイベント
・情報セキュリティ対策を推進するためのロードマップ作成
・資産管理ソフトとEDR
・多要素認証の活用
上記内容は本書刊行時のものです。
