経営者のための 情報セキュリティQ&A45
書籍情報
発売日 : 2019年11月06日
著者/編集 : 北條 孝佳
出版社 : 日本経済新聞出版社
発行形態 : 単行本
書籍説明
内容紹介
企業や経営者はどこまで責任を負うべきか。把握しておくべきリスク、対策から事件・事故が発生した後の実践的な対応までを徹底指南。
目次
プロローグ
第1章 リスクの話――インシデントを想定した備え
Q01 企業におけるリスクとは何ですか? リスクの種類は何がありますか?
Q02 リスク管理と危機管理の違いは何ですか?
Q03 リスクをコントロールするにはどうすればよいですか?
Q04 情報セキュリティに係る内部監査、外部監査とは何ですか?
Q05 情報セキュリティリスクの洗い出しはどうすればよいですか?
第2章 組織の話――体制の構築と運用
Q06 サイバー攻撃はなぜ防げないのですか?
Q07 企業規模を問わず情報セキュリティ対策は必要ですか?
Q08 情報セキュリティ体制はどのように構築すればよいですか?
Q09 即応態勢の整備はどうすればよいですか?
Q10 サイバー攻撃の被害に気づく工夫は何ですか?
Q11 インターネットにおける炎上にはどんな対策がありますか?
Q12 新たなITサービスを提供するに際し、気をつけるべき点は何ですか?
Q13 IoT機器の導入で気をつけるべき点は何ですか?
第3章 ヒトの話――人材育成と人材不足への対応
Q14 どのようなセキュリティ人材が必要とされていますか?
Q15 経営者として人材育成にどう関わればよいですか?
Q16 限られた人員でできる(やるべき)ことは何ですか?
Q17 外部委託について留意すべき点は何ですか?
第4章 データの話――重要性と管理
Q18 データを保護する必要性は何ですか?
Q19 データの管理はどうすればよいですか?
Q20 サイバー攻撃で盗まれた情報はどうなるのですか?
Q21 機密情報はどう保護すればよいですか?
Q22 GDPRのために何をすればよいですか?
第5章 内部の話――企業不祥事・不正への対策
Q23 内部不正によるインシデントはどうして発生するのですか?
Q24 内部不正は防ぐにはどうすればよいですか?
Q25 内部不正による情報セキュリティインシデントが発生した場合、まず何をすべきですか?
Q26 内部不正をした従業員等へは何をすればよいですか?
Q27 モニタリングはどこまでしてもよいのですか?
第6章 責任の話――被害発生と法的関係
Q28 サイバー攻撃の被害に遭ったら何をすればよいですか? どんな被害や損害がありますか?
Q29 サイバー保険に入っておけば大丈夫ですか?
Q30 サイバー攻撃の被害者なのに謝罪は必要ですか?
Q31 サイバー攻撃の被害企業の責任が問われた裁判例はありますか?(1)
Q32 サイバー攻撃の被害企業の責任が問われた裁判例はありますか?(2)
Q33 情報セキュリティインシデントに関連して経営者の責任が問われますか?
Q34 企業や経営者に対する法的責任にはどのようなものがありますか?
第7章 国家の話――政府の政策と海外動向
Q35 サイバーセキュリティ基本法とは何ですか?
Q36 サイバーセキュリティ経営ガイドラインとは何ですか?
Q37 企業の情報セキュリティ対策に係る規制はありますか?
Q38 海外における注意すべき規制はありますか?
Q39 セキュリティ対策の情報共有が重視される理由は何ですか?
Q40 サイバー犯罪の種類と最近の摘発事例は何がありますか?
Q41 サイバー攻撃の犯人を捕まえるのはなぜ難しいのですか?
第8章 お金の話――税制支援とコストから投資へ
Q42 情報セキュリティ対策への国からの補助はありますか?
Q43 情報セキュリティ対策費用の適正額はいくらですか?
Q44 情報セキュリティ対策はコストではないのですか?
Q45 セキュリティ対策製品の導入で注意すべき点は何ですか?
おわりに
コラム
・リスク特定や分類のためのフレームワーク
・情報セキュリティにおける体制と態勢の違い
・リスクの意味の変遷
・内部通報制度
・ハインリッヒの法則
・雪印食品の牛肉偽装事件
・攻撃者から狙われにくくするための対策
・情報セキュリティインシデントと情報セキュリティイベント
・情報セキュリティ対策を推進するためのロードマップ作成
・資産管理ソフトとEDR
・多要素認証の活用
第1章 リスクの話――インシデントを想定した備え
Q01 企業におけるリスクとは何ですか? リスクの種類は何がありますか?
Q02 リスク管理と危機管理の違いは何ですか?
Q03 リスクをコントロールするにはどうすればよいですか?
Q04 情報セキュリティに係る内部監査、外部監査とは何ですか?
Q05 情報セキュリティリスクの洗い出しはどうすればよいですか?
第2章 組織の話――体制の構築と運用
Q06 サイバー攻撃はなぜ防げないのですか?
Q07 企業規模を問わず情報セキュリティ対策は必要ですか?
Q08 情報セキュリティ体制はどのように構築すればよいですか?
Q09 即応態勢の整備はどうすればよいですか?
Q10 サイバー攻撃の被害に気づく工夫は何ですか?
Q11 インターネットにおける炎上にはどんな対策がありますか?
Q12 新たなITサービスを提供するに際し、気をつけるべき点は何ですか?
Q13 IoT機器の導入で気をつけるべき点は何ですか?
第3章 ヒトの話――人材育成と人材不足への対応
Q14 どのようなセキュリティ人材が必要とされていますか?
Q15 経営者として人材育成にどう関わればよいですか?
Q16 限られた人員でできる(やるべき)ことは何ですか?
Q17 外部委託について留意すべき点は何ですか?
第4章 データの話――重要性と管理
Q18 データを保護する必要性は何ですか?
Q19 データの管理はどうすればよいですか?
Q20 サイバー攻撃で盗まれた情報はどうなるのですか?
Q21 機密情報はどう保護すればよいですか?
Q22 GDPRのために何をすればよいですか?
第5章 内部の話――企業不祥事・不正への対策
Q23 内部不正によるインシデントはどうして発生するのですか?
Q24 内部不正は防ぐにはどうすればよいですか?
Q25 内部不正による情報セキュリティインシデントが発生した場合、まず何をすべきですか?
Q26 内部不正をした従業員等へは何をすればよいですか?
Q27 モニタリングはどこまでしてもよいのですか?
第6章 責任の話――被害発生と法的関係
Q28 サイバー攻撃の被害に遭ったら何をすればよいですか? どんな被害や損害がありますか?
Q29 サイバー保険に入っておけば大丈夫ですか?
Q30 サイバー攻撃の被害者なのに謝罪は必要ですか?
Q31 サイバー攻撃の被害企業の責任が問われた裁判例はありますか?(1)
Q32 サイバー攻撃の被害企業の責任が問われた裁判例はありますか?(2)
Q33 情報セキュリティインシデントに関連して経営者の責任が問われますか?
Q34 企業や経営者に対する法的責任にはどのようなものがありますか?
第7章 国家の話――政府の政策と海外動向
Q35 サイバーセキュリティ基本法とは何ですか?
Q36 サイバーセキュリティ経営ガイドラインとは何ですか?
Q37 企業の情報セキュリティ対策に係る規制はありますか?
Q38 海外における注意すべき規制はありますか?
Q39 セキュリティ対策の情報共有が重視される理由は何ですか?
Q40 サイバー犯罪の種類と最近の摘発事例は何がありますか?
Q41 サイバー攻撃の犯人を捕まえるのはなぜ難しいのですか?
第8章 お金の話――税制支援とコストから投資へ
Q42 情報セキュリティ対策への国からの補助はありますか?
Q43 情報セキュリティ対策費用の適正額はいくらですか?
Q44 情報セキュリティ対策はコストではないのですか?
Q45 セキュリティ対策製品の導入で注意すべき点は何ですか?
おわりに
コラム
・リスク特定や分類のためのフレームワーク
・情報セキュリティにおける体制と態勢の違い
・リスクの意味の変遷
・内部通報制度
・ハインリッヒの法則
・雪印食品の牛肉偽装事件
・攻撃者から狙われにくくするための対策
・情報セキュリティインシデントと情報セキュリティイベント
・情報セキュリティ対策を推進するためのロードマップ作成
・資産管理ソフトとEDR
・多要素認証の活用
著者情報
北條 孝佳
西村あさひ法律事務所カウンセル、東京弁護士会(2015年登録)
1998年電気通信大学電気通信学部卒業。2000年同大学院電気通信学研究科修士課程修了。同年警察庁入庁。2009-2014年警察庁情報通信局情報技術解析課サイバーテロ対策技術室勤務。2016年より現職。2018年より国立研究開発法人情報通信研究機構招聘専門員。
北條, 孝佳
