セキュリティ対応組織の構築・運用・評価について記載されている「セキュリティ対応組織の教科書 第3.1版」についてお話します。
本書は、経済産業省「サイバー・フィジカル・セキュリティ対策フレームワーク」や、情報処理推進機構(IPA)「サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集」などの公的なガイドラインからも参照され、東京 2020 オリンピック・パラリンピック競技大会でのサイバーセキュリティ関係組織の立ち上げ・運営にも役立てられています。
- ライター:角田 玄司
- セキュリティオペレーションセンター(NetOne-SOC)の立ち上げに参画し、セキュリティアナリストチームを組成。
サイバー領域の平和を願いつつ、日々奮闘中。
保有資格:GPEN、CISSP、CCSP
目次
セキュリティ対応を行う上での実用書
突然ですが、自組織でセキュリティ対応を検討される際は何から着手されますか?
リスク分析、組織体制の整備、セキュリティ製品・サービスの調査など、実施すべきことは数多くありますが、何をやるべきかと優先順位は、組織の状況に応じて異なります。
2023年10月17日に日本セキュリティオペレーション事業者協議会(略称:ISOG-J)より「セキュリティ対応組織の教科書 第3.1版」(以降「本書」と表記)が公開されました。本書はセキュリティ対応組織の構築・運用・評価について記載されており、セキュリティ対応を検討する上で参考になるのではないかと思います。
「セキュリティ対応組織の教科書 第3.1版」
ISOG-J
はじめにISOG-Jについて簡単に紹介します。ISOG-Jはセキュリティオペレーションに携わる人の集まりであり、セキュリティオペレーションに関する技術の向上、人材育成及び関係する組織・団体間の連携を推進する事業を通じて社会に貢献することを目的としています。弊社NetOne-SOCも2017年から加盟しています。
また、ISOG-Jにはいくつかのワーキンググループ(WG)があり、本書は「セキュリティオペレーション連携WG」が主体となって作成されています。
概要
本書は、SOC (Security Operation Center)やCSIRT(Computer Security Incident Response Team)といったセキュリティ対応を行う組織において、どのような機能や役割、人材が必要となるかについてまとめられています。また、セキュリティオペレーション事業者の知見に加えて国際勧告ITU-T X.1060を統合したフレームワークを提供することで、国際標準かつ実践的な内容になっています。
なお、ITU-T X.1060は、主に日本のISOG-Jに加盟する企業が中心になって執筆されており、日本のセキュリティオペレーションが世界をリードしている実例であるといえます。また、ITU-T X.1060をベースにした日本国内向けの標準フレームワークとして、一般社団法人情報通信技術委員会からJT-X1060が公開されています。
本書の目次は以下のとおりです。
1. はじめに
2. セキュリティ対応組織の存在意義
3. セキュリティ対応組織のサイクル
4. セキュリティ対応組織のカテゴリー
5. セキュリティ対応組織のサービス
6. セキュリティ対応組織の役割分担と体制
7. カテゴリーおよびサービスの関連
8. セキュリティ対応組織のアセスメント
9. おわりに
参考文献
付録 カテゴリーとサービスリストの詳細
2023年2月にリリースされた第3.0版からの主なアップデートは、理解を促進するための補足説明とサービスポートフォリオシートの追加です。サービスポートフォリオシートのひな型を提供することで、セキュリティ対応組織が考慮すべき全体像を把握し、現状とあるべき姿のギャップを整理しやくなっています。
図1. サービスポートフォリオシート
利用シーン
本書は、付録を除く本文のみで61ページとそれなりにボリュームがありますが、経営層の方やセキュリティ対応組織の管理職と現場担当者など、セキュリティ対応にかかわる方は一読されることをお勧めします。個人の視点では自分の立ち位置・役割が確認でき、組織の視点では自組織の習熟度(結構できている、検討すべきことがたくさんある… etc.)が見えてくるのではないかと思います。
また、本書は以下の様なシーンで活用することが期待できます。
- セキュリティ対応組織の立ち上げ
SOCとCSIRTの役割分担や日本におけるセキュリティ対応組織の具体例が記載されているため、組織編制のイメージがし易くなっています。また、要員の考え方や要員数についても言及されており参考になります。 - セキュリティ対応の現状評価
サービスポートフォリオシートを活用することで、不足しているサービスや既存サービスのレベルを体系的に把握することができます。 - セキュリティ対応における運用の改善
サービスポートフォリオシートを活用した現状評価の結果をもとに、改善事項に優先度をつけて対応することで、効果的に改善を実施することができます。 - グローバル組織におけるセキュリティ対応の共通認識
本書は国際勧告ITU-T X.1060を統合しているため、海外支社を持つ企業や海外の組織との連携が必要なグローバル組織においても、国際的なガイドラインに沿った共通認識を持つことができます。
巻き起こる熱い議論!
今回の改訂のタイミングから私も微力ながら執筆に協力させていただいています。
参画メンバーは所属している組織や立場、業務領域もバラバラですが、だからこそ様々な視点から意見が出て大変有意義な議論が行われています。自分が未経験の領域に関してはもちろんのこと、自分と同じ業務領域においても、組織規模やお客様セグメントによる考慮事項の違いなど新たな気づきがあり、とても勉強になります。
会議では毎回密度の濃い議論が行われ、あっという間に時間が過ぎてしまい、当初の予定より進んでいないこともしばしばあります。議論が白熱した結果、更なる熟考が必要と判断され、当初3.1版で盛り込む予定の内容が次回以降の改訂にまわされるということもありました。
ビジネスにおいては競合の立場になることもありますが、ISOG-Jではそのような垣根を越えて日本のセキュリティオペレーションをより良くするための活動が行われています。
まとめ
本書はセキュリティ対応組織の構築・運用・評価について、国際標準かつ実践的な内容が記載されているため、セキュリティ対応を検討される際はぜひご一読ください。
今後もISOG-Jの活動に参画し、引き続き貢献していきたいと思います。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
