EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

なぜ日本に有利な国際標準なのか? 各ドキュメントと比較して「X.1060」導入方法を解説 【第2回】X.1060の構築プロセスとサービスリスト

  2022/01/25 08:00

 2021年6月末、ITU-T(国際電気通信連合の電気通信部門)にて承認された、国際標準「X.1060」。同ドキュメントを参照しながら、エディタの一人として策定に携わった武井滋紀氏がセキュリティの体制づくり、運用の要諦を解説します。第2回では、なぜ日本に有利な国際標準といえるのか、関連ドキュメントを参照しながら、具体的な導入の初期フェーズを紹介していきます。

X.1060と日本のドキュメントの関係

 前回は、ITU-T勧告「X.1060」策定の背景や目的について説明しました。今回からは、いよいよ実際の組織作りについて解説していきたいと思います。

 X.1060は、連載タイトルの通りフレームワークです。つまり、フレームワークとしての文書なので全体的な方向性や方針、考え方は示されていますが「実際にどうするか」という手順的な部分や細かい内容までは記載されていません

 また、国際標準ということもあり各国の事情や実践方法にもバラつきがあるため、どのように実現するかについては国や企業、組織毎のやり方を考える必要があります。

 では、日本では何を参考に実践していけばよいのでしょうか?

 幸いなことに、ITU-Tに参加している日本側のメンバーが提案を行い、X.1060に考え方が取り込まれている日本のドキュメントがあります。

 サイバーセキュリティ経営ガイドラインでは、『付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版』(PDF)の内容、参照先となっている産業横断サイバーセキュリティ検討会の『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』も参考にできます。

 これら日本のドキュメントの考え方が取り込まれていることを象徴的に表しているのが「X.1060のFigure 1」(図1)。この図は、サイバーディフェンスセンター(以下、CDC)の組織における位置づけや関係者の関連を示したものです。

図1:X.1060 Figure 1
図1:X.1060 Figure 1
[画像クリックで拡大]

 図1の左側に経営層、右側にセキュリティを実現するチーム、その間にCDCが存在しています。また、経営層はビジネスの成功のために目標を設定し、CISOはセキュリティポリシーを定める役割を担っています。

 CDCは、CISOから権限を受けてセキュリティポリシーを実現すべく、CDCサービスを選択し、対策を構築して運用に臨みます。また、セキュリティを実現するチームにサービスを割り当てることで、セキュリティを実現するチームはCDCサービスを実装し、各種のセキュリティ活動を行います。

 つまりCDCは、経営層とセキュリティを実現するチームの間で「組織のセキュリティ」を実現するために動くようなイメージです。

 セキュリティを実現するチームは、SOCやCSIRTと具体的なイメージを膨らましがちですが、最近ではビジネスサイドの事業部などにおいてもセキュリティを実施しなければならない場合も考えられます。そのため、CDC全体ではSOCやCSIRTを包含して「セキュリティを実施する主体」としての役割を担っているのです。

 また、図1は『サイバーセキュリティ経営ガイドライン 付録Fの図5』とリンクするようになっています。この2つの図を比較してみると下記のような図2を描くことができます。

図2:「サイバーセキュリティ経営ガイドライン付録Fの図5」と「X.1060のFigure 1」の対比
図2:「サイバーセキュリティ経営ガイドライン付録Fの図5」と「X.1060のFigure 1」の対比
[画像クリックで拡大]

 左側が『サイバーセキュリティ経営ガイドライン付録Fの図5』です。右側は「X.1060のFigure 1」を縦にしたものです。

 ちょうどCDCの位置付けが、図2左側にある『サイバーセキュリティ経営ガイドライン』の赤い枠で囲まれている戦略マネジメント層やセキュリティ統括(室)と同じになることが想定されています。

 この部分の想定が一致することで、日本ではどのようにX.1060を実現すべきか、その方向性が理解しやすくなったのではないでしょうか。

 まずは、X.1060をフレームワークとして捉えてみましょう。次の「具体的にどのような組織作りをするのか」という段階においては、前述した『サイバーセキュリティ経営ガイドライン付録F』や『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』を参考にすることをお薦めします

 特に、組織内でCDCやセキュリティ統括(室)をどう構成するかについては、X.1060ではそこまで細かく書いてありません。しかし、『サイバーセキュリティ経営ガイドライン 付録F』では国内における典型的な組織の例が考察されています。

 このように、日本において実際にどのように取り組んでいけばよいのか、既存の関連ドキュメントを参照することで理解しやすくなるのではないでしょうか。この後の説明でも、日本のドキュメントにおける関連する図表などを紹介しているため、実践の際には参考にしていただければと思います。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 武井 滋紀(タケイ シゲノリ)

    NTTテクノクロス株式会社 セキュアシステム事業部 アソシエイトエバンジェリスト CISSP、情報処理安全確保支援士。 各社のセキュリティ運用体制などのコンサルティングに従事するとともにエバンジェリストとして活動。日本セキュリティオペレーション事業者協議会の副代表などとしても活動し、国際標準機関「ITU-T」のSG17 WP3 Q3(Study Group 17 Working Party3 Question3)に出席し、X.1060のエディタの1人として策定に携わる。

バックナンバー

連載:国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~
All contents copyright © 2007-2022 Shoeisha Co., Ltd. All rights reserved. ver.1.5