CISOは経営がわかる情報セキュリティ最高責任者である: プログラマの思索

2022年5月
日	月	火	水	木	金	土
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

2021/08/01

CISOは経営がわかる情報セキュリティ最高責任者である

CISOハンドブック ――業務執行のための情報セキュリティ実践ガイドを読んで、CISOは経営がわかる情報セキュリティ最高責任者であると知った。
ラフなメモ。

CISOハンドブック ――業務執行のための情報セキュリティ実践ガイドは、セキュリティの本というよりも、IT技術者が経営層になった時、こういうふうに考えたり行動していくべきで、こういう考え方を持つべき、という点が参考になった。
既存の経営陣に情報セキュリティの重要性を認識してもらうよりも、IT技術者自身が経営の知識を持つ方が手っ取り早いし、その方が実際はうまくいくと思う。

リスク管理は、予想される潜在リスクへの対策だけでなく、想定よりも状況がうまく行った時に備える場合もある。
たとえば、ベンチャー企業が社員20名から200名へ急激に成長した時、事業拡大の速度が速い分、いろいろな歪が出てくる。
上手く行っていたチームも、業務量が増えてメンバーが増えると、チームが回らなくなる。
ソフトウェア開発では人員増はうまくいかないという先入観がありすぎて、人員増を極力抑えるのは失敗しやすい。

事業が予測よりもうまくいくと、問題が少しずつ表面化する。
そこで、こんな対策がある。
業務をアウトソースして、固定費（人件費）費を変動費化する。
商流を変えて、固定費（人件費）を販管費にする。
業務をシステム化して効率化することで、固定費（人件費）を抑制する。

組織的には、事業や業務の観点で組織構造を変えて、チームを分けたり増やしたりする。
チームリーダーを社内で育成する。
それでも不足するなら、リーダーを外部から採用する。

つまり、良い状況に変わることも一つのリスクとみなして、リスク対策は考えるべき。

2021/08/01 IT本, 経営・法律・ビジネス・歴史, ソフトウェア工学, ネットワーク・クラウド | 固定リンク
Tweet

「IT本」カテゴリの記事

「経営・法律・ビジネス・歴史」カテゴリの記事

中国人の価値観の考え方(2022.05.08)
知識は経験よりも大切か、経験は知識よりも勝るのか、SECIモデルは相互作用を語る(2022.04.26)
Rによる計量経済学/計量政治学を読んでいる(2022.04.23)
戦略/組織/人事と組織の経済学シリーズを読んでいる(2022.04.23)
『ものづくりの数学』の感想 #もの数(2022.04.10)

「ソフトウェア工学」カテゴリの記事

「ネットワーク・クラウド」カテゴリの記事

プログラミングしてる時はでっかいピタゴラ装置を作ってるみたいな感じ(2022.01.09)
東大の講義内容が「AWSではじめるクラウド開発入門」本で出版されたらしい(2021.11.07)
DockerとVirtualBoxの違い(2021.11.03)
AWSサービスとSW品質特性のマッピングはどうなるか(2021.10.30)
CISOは経営がわかる情報セキュリティ最高責任者である(2021.08.01)

コメントを書く

プロフィール

Google3

Google3

SNSブックマーク

はてな
Facebook

クリエイティブ・コモンズ

Creative Commons 表示 - 継承 2.1 日本 License:
このBlogに書いてある内容を実践する場合、すべて自己責任で行ってください。:
プログラマの思索 by あきぴー is licensed under a Creative Commons 表示 - 継承 2.1 日本 License.

Google2

Google

バックナンバー

IT本

小川明彦, 阪井誠 : チケット駆動開発
日本のソフトウェア開発の現場で生み出された「チケット駆動開発」という概念を、数多くの実例を元にモデル化・体系化を試みた最初の本。
小川明彦, 阪井誠 : Redmineによるタスクマネジメント実践技法
Redmineによるチケット駆動開発の実践技法に関する最初の本。アジャイルなソフトウェア開発への適用方法、TestLinkによるテスト管理手法についても言及。
清水吉男: 「派生開発」を成功させるプロセス改善の技術と極意
組込システム開発をベースとして、ソフトウェア開発特有のスタイルである派生開発、特にXDDPについて解説した世界でも稀な本。既存製品を保守するのではなく継続的に機能追加していく昨今の開発では、派生開発特有の問題を意識しなければならない。XDDPはプロセス論だけでなく、要件定義などの上流工程の品質改善にも役立つので注意。
Len Bass: 実践ソフトウェアアーキテクチャ
ソフトウェアアーキテクチャとは何か、アーキテクトの役割は何か、という命題について解説した本。ソフトウェア開発を突き進めると、目に見えない秩序、つまりソフトウェアアーキテクチャの存在にぶち当たる。そしてソフトウェアアーキテクチャは必ずソフトウェアプロダクトラインにぶつかるように、この本の内容の背後にもソフトウェアプロダクトラインが隠れている。
真野正: 実践的データモデリング入門 (DB magazine selection)
データベース設計を具体例を元に、物理設計や論理設計、データモデルパターンなど網羅的に解説した本。IDEF1のER図はやや取っつきにくいが、一般的なDOAの設計手法はこの本1冊で十分と思う。
梅田弘之: グラス片手にデータベース設計~販売管理システム編 (DBMagazine SELECTION)
SEの観点で業務システムに関する業務ノウハウをまとめた本。データベース設計の本は多いけれど、販売、受注、請求、締め、支払サイト、EB連携などの日本特有の業務ノウハウを、SEにとって必要な内容として網羅的にまとめられている。
Janet Gregory: 実践アジャイルテストテスターとアジャイルチームのための実践ガイド (IT Architects’Archive ソフトウェア開発の実践)
アジャイル開発におけるテスト管理、リリース管理、ビルド管理などの観点を詳しく解説した本。アジャイルテストの4象限の図は、とても分かりやすい。「アジャイル開発の本質とスケールアップ変化に強い大規模開発を成功させる14のベストプラクティス」と共に、Agile2.0時代においてアジャイル開発に関する必読の書籍の一つ。
ディーン・レフィングウェル: アジャイル開発の本質とスケールアップ変化に強い大規模開発を成功させる14のベストプラクティス (IT Architects’ Archive)
XPが出た2000年初頭に出現した初期のAgile開発では、その利点は受け入れられたものの、スケールアップが難しいなどの弱点を言われ続けてきた。しかし、2005年以降Aigle2.0と呼ばれるアジャイル開発のルネサンスにおいて、 Agile開発を大規模プロジェクトへ応用してみようとする動きがある。この本はまさに「アジャイル開発をスケールアップするには何が必要なのか」というプラクティスを具体的に説明しているのが秀逸。
Graham Hutton: プログラミングHaskell
ケンブリッジ大学での関数型言語Haskellの講義録。関数型言語は手続き型言語と発想が全く異なる点を詳細に説明している。Haskellのプログラムを書く前にこの本で思想を押さえておくと良い。
ステファン・P・バーチャック: パターンによるソフトウェア構成管理 (IT Architects’ Archive―ソフトウェア開発の課題)
構成管理のパターン集。メインラインモデルに関して唯一説明されている構成管理の本。必読。
アラン・M・デービス: 成功する要求仕様失敗する要求仕様
要求をどのようにまとめていくか、解説した本。第5章「変更への対応に関する選択肢」では、結局、アジャイル開発とメインラインモデルで運用している場合はタスクブランチが最適な解決策だと詳しく説明されている。
G.マイケルキャンベル: 世界一わかりやすいプロジェクト・マネジメント【第2版】
PMBOKを初心者向けに解説した本だが、中身はとても詳しく説明されているのでお勧め。プロジェクト管理のノウハウはアジャイル開発に簡単に応用できるので、知っていると理論的に補強できて強みになる。
濱野純(Junio C Hamano): 入門Git
分散バージョン管理Gitの解説本。Gitの使い方だけでなく、オープンソースの主流の開発手法であるパッチベースの開発フローについても詳しく説明されているのでお勧め。
藤原克則: 入門Mercurial Linux/Windows対応
分散バージョン管理Mercurialの唯一の解説本。 MercurialのWindowsクライアントTortoiseHgを使いこなすなら、この本は必須。
渡辺幸三: 業務システムモデリング練習帳業務システムを効果的に設計するための精選45題
家計簿、プロジェクト管理、医療などの実例をDOAで解説した本。とても分かりやすい。この本で書かれたテーブル設計をそのままRuby on Railsで作れば、業務設計のノウハウも理解できるだろう。
Scott Berkun: アート・オブ・プロジェクトマネジメント ―マイクロソフトで培われた実践手法 (THEORY/IN/PRACTICE)
SW 開発のプロジェクト管理本の中で３本の指に入る本。マイクロソフト社でのプロジェクト管理の実体験を通じて、プロジェクト管理のライフサイクルに沿ったノウハウが説明されている。
Michael T. Nygard: Release It! 本番用ソフトウェア製品の設計とデプロイのために
リリース作業や本番運用、スケールアップに関する技術書。アジャイル開発では頻繁にリリースできる技術力を前提とするため、この本に書かれているノウハウはとても貴重。
James Shore: アート・オブ・アジャイルデベロップメント ―組織を成功に導くエクストリームプログラミング
eXtremeProgramming を実践する時の必読書。小規模リリースが何故優れているのか、技術面だけでなくビジネス面でも説明されています。
ThoughtWorks Inc.: ThoughtWorksアンソロジー ―アジャイルとオブジェクト指向によるソフトウェアイノベーション
M.ファウラーが在籍するThoughtWorks社のエッセー。随筆のように書かれていて分かりにくい部分があるが、それらのアイデアは非常に優れていると思う。オブジェクト指向の次に来るIT技術の将来性を語っている。
Mike Cohn: アジャイルな見積りと計画づくり ~価値あるソフトウェアを育てる概念と技法~
Scrumを実践する時の必読書。イテレーション計画や工数見積もりのノウハウが書かれている。
菅野裕: Trac入門 ――ソフトウェア開発・プロジェクト管理活用ガイド
Tracをプロジェクト管理としてどのように使うか、挿話を交えて分かりやすく説明されています。
前田剛: 入門Redmine Linux/Windows対応
Redmineのインストール方法について詳細に説明されています。
倉貫義人: Redmine -もっと手軽にプロジェクト管理!
RedmineをAmazonEC2で稼働する技術が説明されています。現場リーダーや開発者の観点でRedmineをどのように運用すべきか、少し触れられています。
ジョセフ・N. ホール: Effective Perl (ASCII Addison Wesley Programming Series)
『Effective C++』のPerl版。PerlはJavaやCと違い、短く書くことを洗練する方向が向いている。
マーチン・ファウラー: エンタープライズアプリケーションアーキテクチャパターン (Object Oriented Selection)
M. ファウラーが業務系Webシステムの設計思想を語り尽くした本。ORマッピング、分散パターン、トランザクション管理、WebUIなどのパターンを、 Javaと.NET共に解説しているのが大きな特徴。 J2EE BluePrintやAplication Architecture for .NETの本質を理解したいなら、この本が一番いい。
P・F. ドラッカー: プロフェッショナルの条件―いかに成果をあげ、成長するか (はじめて読むドラッカー (自己実現編))
ドラッカーの経験談も含まれた自己実現のための本。現代の全てのホワイトカラーの仕事にマネジメントが必ず含まれているという指摘は鋭い。
まつもとゆきひろ: オブジェクト指向スクリプト言語 Ruby (ASCII SOFTWARE SCIENCE Language)
古いけど、Rubyの生みの親が書いたRuby解説書。書き方の初歩や実行の仕方から、デザインパターンや設計手法、Rubyの隠された機能まで解説している。デザインパターンはRubyのAPIに組み込まれているため、Javaよりもはるかに理解しやすい気がする。
ジム・ハイスミス: アジャイルプロジェクトマネジメント最高のチームづくりと革新的な製品の法則
アジャイル開発の手法を取り入れた製品開発に関する本。
グロービス・マネジメント・インスティテュート: ビジネスリーダーへのキャリアを考える技術・つくる技術
ビジネスリーダーになる人のための転職術の本。キャリア戦略を考える時、担当者、ミドルマネジメント、トップマネジメントにはマネジメントという仕事の断層があるという指摘はどこの業界でも通用する。
羽生章洋: いきいきする仕事とやる気のつくり方―幸せなITパーソンになるための
Seasar プロジェクト提唱者の羽生さんが書いた本。後半のプロジェクト管理の章は経験に裏打ちされた話で重みがある。
メアリー・ポッペンディーク: リーンソフトウエア開発～アジャイル開発を実践する22の方法～
トヨタ生産方式をソフトウェア開発に応用させた本。「決定をできるだけ遅らせる」「プロセスの無駄を徹底的に省く」等の主張は目から鱗が落ちる。
アリスターコーバーン: ユースケース実践ガイド―効果的なユースケースの書き方 (OOP Foundations)
数々のユースケース解説本の中で内容がピカイチ。ユースケースの粒度や詳細化の方法が詳しく書かれている。
藤沢晃治: 「分かりやすい表現」の技術 (ブルーバックス)
意図を正しく伝えるための表現テクニックを解説した本。プレゼン資料の構成のヒントになる。
本多勝一: 日本語の作文技術 (朝日文庫)
分かりやすい日本語の文章を書くためのテクニックを解説した本。全てマスターしたらプロのライターになれる（はず）
ロバート・C・マーチン: アジャイルソフトウェア開発の奥義第2版オブジェクト指向開発の神髄と匠の技
時代を超えたプログラミングの基本原則を説明している唯一の本。Open-Close Principleやコンポーネントの基本原則も解説されている唯一の本。
川端光義: バグがないプログラムのつくり方 JavaとEclipseで学ぶTDDテスト駆動開発 (Be agile!)
日本人が書いたテスト駆動の紹介本。TDDを取り入れたプロジェクトの物語だけでなく、Dependency Injectionやトヨタ生産方式の比較などにも触れている。頁数だけでなく内容も分厚い本です。
W.J. ブラウン: アンチパターン―ソフトウェア危篤患者の救出
プログラミング、アーキテクチャ、プロジェクト管理で頻繁に経験する失敗例をアンチパターンとしてまとめたカタログ本。気軽に読めて笑えるが、我に戻ると悲しくなる時がある。
トムデマルコ: デッドライン―ソフト開発を成功に導く101の法則
ガモフが書いた物理学の物語を真似て書かれたプロジェクト管理の空想物語。ソフトウェアを開発するチームの運営手法について考えさせられる物語。
マーチンファウラー: アナリシスパターン―再利用可能なオブジェクトモデル (Object Technology Series)
オブジェクト指向モデリングを突き詰めると結局読まざるを得なくなる。
(株)アレア: 失敗のないCMM/CMMI
CMM/CMMI を手軽に理解できるらしい。
前橋和弥: Java 謎+落とし穴徹底解明 (標準プログラマーズライブラリ)
Java 使いがC言語を理解するための本。プログラミング言語の進化の歴史を垣間見る事ができる。
エリックガンマ: オブジェクト指向における再利用のためのデザインパターン
言わずと知れたデザインパターン元本。再利用絡みの話は全てこの本のアイデアを元にしている。添付CDにあるhtml化されたデザインパターンカタログが意外と役立つ。
マーチンファウラー: リファクタリング―プログラムの体質改善テクニック (Object Technology Series)
ファウラー本で最も読みやすく実践的な本。Javaでオブエジェクト指向プログラムを書くなら、この本をバイブルにすべし。
長尾清一: 先制型プロジェクト・マネジメント―なぜ、あなたのプロジェクトは失敗するのか
抽象的なPMBOK本が多い中で、実戦で役立ちそうな唯一の本
クレーグ・ラーマン: 実践UML 第3版オブジェクト指向分析設計と反復型開発入門
プログラマが最も悩む「メソッド配置」は「GRASPパターン」で解決できる。実践UMLは初版で勉強したが、版を重ねるほど内容が濃くなっている。
ジルニコラ: ストリームラインオブジェクトモデリング―パターンとビジネスルールによるUML
ピーター.コード系OOA
結城浩: 増補改訂版 Java言語で学ぶデザインパターン入門マルチスレッド編
Java 本でスレッドが一番分かりやすい
渡辺幸三: 業務別データベース設計のためのデータモデリング入門
DOAの観点で書かれた業務設計・データモデリングの本。渡辺さん独特の説明がとても分かりやすい。Ruby on Railsが流行して更にDOAの必要性が高まったように思う。DBさえできればすぐにWebアプリを作れるから。
渡辺幸三: 生産管理・原価管理システムのためのデータモデリング
日本人が書いたアナパタ。製造業の生産管理を理解できれば他業種（小売等）もプロジェクト管理も見通しが良くなる
児玉公信: UMLモデリングの本質 (日経ITプロフェッショナルBOOKS)
やっと出た！まともに使えるUMLモデリング本

RSSを表示する

Audible

Audible

プログラマの思索

IT業界に身をおいて、1日の労働後、心に溜まった疑問を一つずつ点検してみる。

Google

Google4

最近の記事

最近のコメント

Redmine勉強会

astah関西勉強会

講演・執筆した資料

携帯URL