X.1060と日本のドキュメントの関係
前回は、ITU-T勧告「X.1060」策定の背景や目的について説明しました。今回からは、いよいよ実際の組織作りについて解説していきたいと思います。
X.1060は、連載タイトルの通りフレームワークです。つまり、フレームワークとしての文書なので全体的な方向性や方針、考え方は示されていますが「実際にどうするか」という手順的な部分や細かい内容までは記載されていません。
また、国際標準ということもあり各国の事情や実践方法にもバラつきがあるため、どのように実現するかについては国や企業、組織毎のやり方を考える必要があります。
では、日本では何を参考に実践していけばよいのでしょうか?
幸いなことに、ITU-Tに参加している日本側のメンバーが提案を行い、X.1060に考え方が取り込まれている日本のドキュメントがあります。
- 『サイバーセキュリティ経営ガイドライン Ver2.0』(経済産業省、PDF形式)
- 『セキュリティ対応組織の教科書 v2.1』(日本セキュリティオペレーション事業者協議会〈以下、ISOG-J〉、PDF形式)
サイバーセキュリティ経営ガイドラインでは、『付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版』(PDF)の内容、参照先となっている産業横断サイバーセキュリティ検討会の『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』も参考にできます。
これら日本のドキュメントの考え方が取り込まれていることを象徴的に表しているのが「X.1060のFigure 1」(図1)。この図は、サイバーディフェンスセンター(以下、CDC)の組織における位置づけや関係者の関連を示したものです。
[画像クリックで拡大]
図1の左側に経営層、右側にセキュリティを実現するチーム、その間にCDCが存在しています。また、経営層はビジネスの成功のために目標を設定し、CISOはセキュリティポリシーを定める役割を担っています。
CDCは、CISOから権限を受けてセキュリティポリシーを実現すべく、CDCサービスを選択し、対策を構築して運用に臨みます。また、セキュリティを実現するチームにサービスを割り当てることで、セキュリティを実現するチームはCDCサービスを実装し、各種のセキュリティ活動を行います。
つまりCDCは、経営層とセキュリティを実現するチームの間で「組織のセキュリティ」を実現するために動くようなイメージです。
セキュリティを実現するチームは、SOCやCSIRTと具体的なイメージを膨らましがちですが、最近ではビジネスサイドの事業部などにおいてもセキュリティを実施しなければならない場合も考えられます。そのため、CDC全体ではSOCやCSIRTを包含して「セキュリティを実施する主体」としての役割を担っているのです。
また、図1は『サイバーセキュリティ経営ガイドライン 付録Fの図5』とリンクするようになっています。この2つの図を比較してみると下記のような図2を描くことができます。
[画像クリックで拡大]
左側が『サイバーセキュリティ経営ガイドライン付録Fの図5』です。右側は「X.1060のFigure 1」を縦にしたものです。
ちょうどCDCの位置付けが、図2左側にある『サイバーセキュリティ経営ガイドライン』の赤い枠で囲まれている戦略マネジメント層やセキュリティ統括(室)と同じになることが想定されています。
この部分の想定が一致することで、日本ではどのようにX.1060を実現すべきか、その方向性が理解しやすくなったのではないでしょうか。
まずは、X.1060をフレームワークとして捉えてみましょう。次の「具体的にどのような組織作りをするのか」という段階においては、前述した『サイバーセキュリティ経営ガイドライン付録F』や『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』を参考にすることをお薦めします。
特に、組織内でCDCやセキュリティ統括(室)をどう構成するかについては、X.1060ではそこまで細かく書いてありません。しかし、『サイバーセキュリティ経営ガイドライン 付録F』では国内における典型的な組織の例が考察されています。
このように、日本において実際にどのように取り組んでいけばよいのか、既存の関連ドキュメントを参照することで理解しやすくなるのではないでしょうか。この後の説明でも、日本のドキュメントにおける関連する図表などを紹介しているため、実践の際には参考にしていただければと思います。
