日本企業が進めやすい「サイバーディフェンスセンター」の設置　X.1060実現に向けたアプローチとは

【第3回】X.1060の構築プロセスとマネジメントプロセス

2022/02/22 08:00

通知

　2021年6月末、ITU-T（国際電気通信連合の電気通信部門）にて承認された、国際標準「X.1060」。同ドキュメントを参照しながら、エディタの一人として策定に携わった武井滋紀氏がセキュリティの体制づくり、運用の要諦を解説します。第3回では、構築とマネジメントの具体的プロセスについて、日本語のドキュメントを参照しながら紹介します。

通知

前回までのおさらい

　本連載の第2回では、X.1060と日本のドキュメントの関連性、構築プロセスにおける最初のフェーズを解説しました。まずは、第3回の本題に入る前にフレームワークの全体像を振り返りましょう。3つのプロセスと構築のフェーズは以下のようになります。

構築プロセス
1. サービスを選択する
2. サービスを割り当てる
3. サービスのアセスメントをする
マネジメントプロセス
評価プロセス

　前回は「構築プロセス」の「1.サービスを選択する」フェーズまでを説明しました。今回はサービスを選択した後の「2.サービスを割り当てる」フェーズから説明をします。

日本企業の参考となる豊富なドキュメント

2.サービスを割り当てる

　前のフェーズにて、X.1060の付録A^[※1]で示されているサービスリストを参照し、実施するサービスを選択。これによって作成したサービスカタログを用いることで、企業や組織で何に取り組むべきかを明らかにすることができました。次にすべきことは、選択したそれぞれのサービスをどこで実施するのか割り当てることです。

　社内や組織内であれば対象となる部署やチーム、外部へ委託するのであれば委託先といった形になります。では、具体的にサービスをどこで実施するのか。組織内で実施する（インソース）か、外部に委託する（アウトソース）かについてX.1060では、図1で考え方が示されています。

　この考え方は、それぞれのサービスで扱う情報の内容と、必要になるセキュリティスキルの専門性で分類しています。サービスで扱う情報の内容が組織内のものかどうか、外部で得られる攻撃や脅威の情報かどうか。もう一つは、サービスで必要とされるセキュリティスキルの専門性の高さによるものです。　

　組織内でしか扱えない情報が中心で、セキュリティスキルの専門性があまり高くないようなものはインソースを推奨しています。逆に、個別のセキュリティスキルの専門性が高く、外部で得られる攻撃や脅威に関する情報が中心となるようなサービスは、外部委託もできると考えられます。

　図1の考え方は、日本セキュリティオペレーション事業者協議会（以下、ISOG-J）の『セキュリティ対応組織の教科書 v2.1』で示されているもの（図2）と同様です。X.1060では、グラフにおける象限の考え方だけが示されている一方で、日本のドキュメントでは、どのようなサービスを企業や組織で実施すべきか、どのようなサービスが外部委託するのに向くのかなども明記されています。

図2：『セキュリティ対応組織の教科書 v2.1』より図4
[画像クリックで拡大]

　なお、X.1060ではインソースとアウトソースの方向性しか示されていませんが、実際に社内や組織のどこでサービスを実装するのかという割り当てに関しては、企業や組織の状況によって異なります。

　これまでは、社内システムだけをセキュリティ対策の対象としている場合が多く、自社のシステム部門を中心に考えられていました。しかし、現在ではビジネスの主導権を持っている事業部がネットワークに接続された生産システムをもっているなど、ビジネス部門においても同様のセキュリティ対策を実施するチームや支援が必要なケースもあるのです。

　また、選択したサービスをどこで実施するのか、その割り当てによって作成されたものを「サービスプロファイル」と呼び、どこで何が実施されるのか参照できるものになります。

　繰り返しになりますが、X.1060では各サービスを内製すべきか、外部委託すべきかといった観点について書かれていますが、企業や組織内で「どのようにセキュリティ対応組織を作るべきか」といった具体的な内容にまでは踏み込まれていません。それは各国、企業や組織によってあるべきセキュリティ対応組織の形態が異なるからです。

　日本でどのように考えるべきかという点においては、経済産業省の『サイバーセキュリティ経営ガイドライン』の付録F「サイバーセキュリティ体制構築・人材確保の手引き第1.1版」（PDF）や、その参照元となっている産業横断サイバーセキュリティ検討会の『ユーザ企業のためのセキュリティ統括室構築・運用キット（統括室キット）』（PDF）も参考になるかと思います。

　X.1060のタイトルにある「サイバーディフェンスセンター（CDC）」という名前が先行してしまいがちですが、日本国内においては「戦略マネジメント」や「セキュリティ統括（室）」と読み替えてみることで、どのような組織づくりをすればよいかのヒントになるかと思います。

　たとえば、前述した日本のドキュメントを既にセキュリティ組織に取り込んでいるのならば、X.1060で提案している取り組みについても、既に実践に移していると考えることもできます。これから取り組みたいという企業や組織にとっては、目指す形として参考にしていただければと思います。

[※1]『X.1060 : Framework for the creation and operation of a cyber defence centre』より、「Annex A」（13ページ）

次のページ
X.1060を“セキュリティ組織の改善”につなげる

この記事は参考になりましたか？

印刷用を表示

国際標準「X.1060」～セキュリティの組織作りと運用のフレームワーク～連載記事一覧: 日本語版「JT-X1060」が公開　“世界に通用する”フレームワークをどう活用すればよいの...

日本企業が進めやすい「サイバーディフェンスセンター」の設置　X.1060実現に向けたアプロ...

なぜ日本に有利な国際標準なのか？各ドキュメントと比較して「X.1060」導入方法を解説

もっと読む

この記事の著者: 武井滋紀（タケイシゲノリ）

NTTテクノクロス株式会社セキュアシステム事業部アソシエイトエバンジェリスト
CISSP、情報処理安全確保支援士。
各社のセキュリティ運用体制などのコンサルティングに従事するとともにエバンジェリストとして活動。日本セキュリティオペレーション事業者協議会の副代表などとしても活動し、国際...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事