SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~

なぜ日本に有利な国際標準なのか? 各ドキュメントと比較して「X.1060」導入方法を解説

【第2回】X.1060の構築プロセスとサービスリスト

 2021年6月末、ITU-T(国際電気通信連合の電気通信部門)にて承認された、国際標準「X.1060」。同ドキュメントを参照しながら、エディタの一人として策定に携わった武井滋紀氏がセキュリティの体制づくり、運用の要諦を解説します。第2回では、なぜ日本に有利な国際標準といえるのか、関連ドキュメントを参照しながら、具体的な導入の初期フェーズを紹介していきます。

X.1060と日本のドキュメントの関係

 前回は、ITU-T勧告「X.1060」策定の背景や目的について説明しました。今回からは、いよいよ実際の組織作りについて解説していきたいと思います。

 X.1060は、連載タイトルの通りフレームワークです。つまり、フレームワークとしての文書なので全体的な方向性や方針、考え方は示されていますが「実際にどうするか」という手順的な部分や細かい内容までは記載されていません

 また、国際標準ということもあり各国の事情や実践方法にもバラつきがあるため、どのように実現するかについては国や企業、組織毎のやり方を考える必要があります。

 では、日本では何を参考に実践していけばよいのでしょうか?

 幸いなことに、ITU-Tに参加している日本側のメンバーが提案を行い、X.1060に考え方が取り込まれている日本のドキュメントがあります。

 サイバーセキュリティ経営ガイドラインでは、『付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版』(PDF)の内容、参照先となっている産業横断サイバーセキュリティ検討会の『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』も参考にできます。

 これら日本のドキュメントの考え方が取り込まれていることを象徴的に表しているのが「X.1060のFigure 1」(図1)。この図は、サイバーディフェンスセンター(以下、CDC)の組織における位置づけや関係者の関連を示したものです。

図1:X.1060 Figure 1
図1:X.1060 Figure 1
[画像クリックで拡大]

 図1の左側に経営層、右側にセキュリティを実現するチーム、その間にCDCが存在しています。また、経営層はビジネスの成功のために目標を設定し、CISOはセキュリティポリシーを定める役割を担っています。

 CDCは、CISOから権限を受けてセキュリティポリシーを実現すべく、CDCサービスを選択し、対策を構築して運用に臨みます。また、セキュリティを実現するチームにサービスを割り当てることで、セキュリティを実現するチームはCDCサービスを実装し、各種のセキュリティ活動を行います。

 つまりCDCは、経営層とセキュリティを実現するチームの間で「組織のセキュリティ」を実現するために動くようなイメージです。

 セキュリティを実現するチームは、SOCやCSIRTと具体的なイメージを膨らましがちですが、最近ではビジネスサイドの事業部などにおいてもセキュリティを実施しなければならない場合も考えられます。そのため、CDC全体ではSOCやCSIRTを包含して「セキュリティを実施する主体」としての役割を担っているのです。

 また、図1は『サイバーセキュリティ経営ガイドライン 付録Fの図5』とリンクするようになっています。この2つの図を比較してみると下記のような図2を描くことができます。

図2:「サイバーセキュリティ経営ガイドライン付録Fの図5」と「X.1060のFigure 1」の対比
図2:「サイバーセキュリティ経営ガイドライン付録Fの図5」と「X.1060のFigure 1」の対比
[画像クリックで拡大]

 左側が『サイバーセキュリティ経営ガイドライン付録Fの図5』です。右側は「X.1060のFigure 1」を縦にしたものです。

 ちょうどCDCの位置付けが、図2左側にある『サイバーセキュリティ経営ガイドライン』の赤い枠で囲まれている戦略マネジメント層やセキュリティ統括(室)と同じになることが想定されています。

 この部分の想定が一致することで、日本ではどのようにX.1060を実現すべきか、その方向性が理解しやすくなったのではないでしょうか。

 まずは、X.1060をフレームワークとして捉えてみましょう。次の「具体的にどのような組織作りをするのか」という段階においては、前述した『サイバーセキュリティ経営ガイドライン付録F』や『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』を参考にすることをお薦めします

 特に、組織内でCDCやセキュリティ統括(室)をどう構成するかについては、X.1060ではそこまで細かく書いてありません。しかし、『サイバーセキュリティ経営ガイドライン 付録F』では国内における典型的な組織の例が考察されています。

 このように、日本において実際にどのように取り組んでいけばよいのか、既存の関連ドキュメントを参照することで理解しやすくなるのではないでしょうか。この後の説明でも、日本のドキュメントにおける関連する図表などを紹介しているため、実践の際には参考にしていただければと思います。

次のページ
X.1060のフレームワークの全体像

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~連載記事一覧

もっと読む

この記事の著者

武井 滋紀(タケイ シゲノリ)

NTTテクノクロス株式会社 セキュアシステム事業部 アソシエイトエバンジェリスト CISSP、情報処理安全確保支援士。 各社のセキュリティ運用体制などのコンサルティングに従事するとともにエバンジェリストとして活動。日本セキュリティオペレーション事業者協議会の副代表などとしても活動し、国際標準機関...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15393 2022/01/25 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング