抄録
情報システムが事業を支える基幹へと変貌したことで,経営における情報セキュリティの重要性が高まり,経営陣の一員として情報セキュリティを担うCISO(Chief Information Security Officer)が注目をされるようになった。
CISOは,組織の戦略的な方向性と,ISMSが意図した成果を達成できることの両立が求められる立場にある。しかし,セキュリティ施策を要求事項に対する監査的な手法は普及しているが,組織の戦略的な方向性とISMSが意図した成果が達成できることを検証する取り組み,つまりセキュリティ施策のデバッグやシステムテストに相当する手法にも取り組む必要がある。
本稿では,ソフトウェア開発におけるデバッグやシステムテストに相当する手法として,机上演習を通じて,実務者視点からのセキュリティ施策の検証を行うCISO-PRACTSIEについて解説する。
