SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~

日本企業が進めやすい「サイバーディフェンスセンター」の設置 X.1060実現に向けたアプローチとは

【第3回】X.1060の構築プロセスとマネジメントプロセス

 2021年6月末、ITU-T(国際電気通信連合の電気通信部門)にて承認された、国際標準「X.1060」。同ドキュメントを参照しながら、エディタの一人として策定に携わった武井滋紀氏がセキュリティの体制づくり、運用の要諦を解説します。第3回では、構築とマネジメントの具体的プロセスについて、日本語のドキュメントを参照しながら紹介します。

前回までのおさらい

 本連載の第2回では、X.1060と日本のドキュメントの関連性、構築プロセスにおける最初のフェーズを解説しました。まずは、第3回の本題に入る前にフレームワークの全体像を振り返りましょう。3つのプロセスと構築のフェーズは以下のようになります。

  • 構築プロセス
    1. サービスを選択する
    2. サービスを割り当てる
    3. サービスのアセスメントをする
  • マネジメントプロセス
  • 評価プロセス

 前回は「構築プロセス」の「1.サービスを選択する」フェーズまでを説明しました。今回はサービスを選択した後の「2.サービスを割り当てる」フェーズから説明をします。

日本企業の参考となる豊富なドキュメント

2.サービスを割り当てる

 前のフェーズにて、X.1060の付録A[※1]で示されているサービスリストを参照し、実施するサービスを選択。これによって作成したサービスカタログを用いることで、企業や組織で何に取り組むべきかを明らかにすることができました。次にすべきことは、選択したそれぞれのサービスをどこで実施するのか割り当てることです。

 社内や組織内であれば対象となる部署やチーム、外部へ委託するのであれば委託先といった形になります。では、具体的にサービスをどこで実施するのか。組織内で実施する(インソース)か、外部に委託する(アウトソース)かについてX.1060では、図1で考え方が示されています。

 この考え方は、それぞれのサービスで扱う情報の内容と、必要になるセキュリティスキルの専門性で分類しています。サービスで扱う情報の内容が組織内のものかどうか、外部で得られる攻撃や脅威の情報かどうか。もう一つは、サービスで必要とされるセキュリティスキルの専門性の高さによるものです。 

図1:X.1060よりFigure 5
図1:X.1060よりFigure 5
[画像クリックで拡大]

 組織内でしか扱えない情報が中心で、セキュリティスキルの専門性があまり高くないようなものはインソースを推奨しています。逆に、個別のセキュリティスキルの専門性が高く、外部で得られる攻撃や脅威に関する情報が中心となるようなサービスは、外部委託もできると考えられます。

 図1の考え方は、日本セキュリティオペレーション事業者協議会(以下、ISOG-J)の『セキュリティ対応組織の教科書 v2.1』で示されているもの(図2)と同様です。X.1060では、グラフにおける象限の考え方だけが示されている一方で、日本のドキュメントでは、どのようなサービスを企業や組織で実施すべきか、どのようなサービスが外部委託するのに向くのかなども明記されています。

図2:『セキュリティ対応組織の教科書 v2.1』より図4
図2:『セキュリティ対応組織の教科書 v2.1』より図4
[画像クリックで拡大]

 なお、X.1060ではインソースとアウトソースの方向性しか示されていませんが、実際に社内や組織のどこでサービスを実装するのかという割り当てに関しては、企業や組織の状況によって異なります。

 これまでは、社内システムだけをセキュリティ対策の対象としている場合が多く、自社のシステム部門を中心に考えられていました。しかし、現在ではビジネスの主導権を持っている事業部がネットワークに接続された生産システムをもっているなど、ビジネス部門においても同様のセキュリティ対策を実施するチームや支援が必要なケースもあるのです。

 また、選択したサービスをどこで実施するのか、その割り当てによって作成されたものを「サービスプロファイル」と呼び、どこで何が実施されるのか参照できるものになります。

 繰り返しになりますが、X.1060では各サービスを内製すべきか、外部委託すべきかといった観点について書かれていますが、企業や組織内で「どのようにセキュリティ対応組織を作るべきか」といった具体的な内容にまでは踏み込まれていません。それは各国、企業や組織によってあるべきセキュリティ対応組織の形態が異なるからです。

 日本でどのように考えるべきかという点においては、経済産業省の『サイバーセキュリティ経営ガイドライン』の付録F「サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」(PDF)や、その参照元となっている産業横断サイバーセキュリティ検討会の『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』(PDF)も参考になるかと思います。

 X.1060のタイトルにある「サイバーディフェンスセンター(CDC)」という名前が先行してしまいがちですが、日本国内においては「戦略マネジメント」や「セキュリティ統括(室)」と読み替えてみることで、どのような組織づくりをすればよいかのヒントになるかと思います。

 たとえば、前述した日本のドキュメントを既にセキュリティ組織に取り込んでいるのならば、X.1060で提案している取り組みについても、既に実践に移していると考えることもできます。これから取り組みたいという企業や組織にとっては、目指す形として参考にしていただければと思います。

[※1]X.1060 : Framework for the creation and operation of a cyber defence centre』より、「Annex A」(13ページ)

次のページ
X.1060を“セキュリティ組織の改善”につなげる

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~連載記事一覧

もっと読む

この記事の著者

武井 滋紀(タケイ シゲノリ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15552 2022/02/22 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング