日本語版「JT-X1060」が公開　“世界に通用する”フレームワークをどう活用すればよいのか？

日本語版の公開

前回までのおさらい

　前回は、X.1060の構築プロセスとマネジメントプロセスまでを解説。フレームワークの全体像として3つのプロセスと構築のフェーズは以下となります。

• 構築プロセス
  1. サービスを選択する
  2. サービスを割り当てる
  3. サービスのアセスメントをする
• マネジメントプロセス
• 評価プロセス

　今回は、組織を継続的に改善し続けるための「評価プロセス」について説明します。

評価プロセス

　X.1060のフレームワークの全体像をもう一度見ていただくと、日々の運用の「マネジメントプロセス」の次が「評価プロセス」であり、その次に「構築プロセス」と循環する形になっています。これはPDCA（Plan-Do-Check-Action）サイクルと同様に考えますので、既に実践している組織もあるのではないでしょうか。

　しかしながら、このようにセキュリティ組織を計画的に見直し、再構築するレベルでの改善に取り組む企業や組織は多くないと思います。

　一時期は、CSIRT（Computer Security Incident Response Team）を企業・組織に設置する動きもみられました。一方でその後、業務内容や環境、状況の変化に応じてどの程度の見直しがなされたのでしょうか。

　なんとなく「セキュリティで何か起きたら、そこが対応するだろう」という意識のまま、環境や状況の変化への対応は担当者に丸投げ。いざ何か起きた時には、「こんなはずではなかった」という事態に陥ってしまうのではないでしょうか。

　『サイバーセキュリティ経営ガイドライン』の「付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」でも示されている通り、セキュリティ対応を行う組織としてはX.1060の「サイバーディフェンスセンター（CDC）」に対応する「セキュリティ統括（室）」が想定されています。SOC（Security Operation Center）やCSIRTがあるからではなく、セキュリティ統括の役割が企業・組織における“ビジネス課題”としてのサイバーセキュリティに対応するためには必要だと考えられています。

　何か起きた時のための組織としてのCSIRT設置からスタートしていたとしても、今現在はセキュリティ統括で示されるような役割を担える組織へ進化していますでしょうか。一朝一夕で立ち上がるような組織ではなく、各部署との連携、人材育成などは平常時に時間をかけて行う必要があります。こういったことからも、構築プロセスで考えた内容や目指すところにどこまで近づいているのかを評価し、必要であれば見直して改善することが求められます。

　また、X.1060における実際の評価プロセスでは、構築プロセスの「3つのフェーズ」をそれぞれ評価します。

　図2で示しているものは、構築プロセスにおける各フェーズにおいて行ったことに対して評価し、ギャップの分析をしましょう、というものです。

　ちなみに構築プロセスは、以下3つのフェーズでした。

1. サービスを選択する
2. サービスを割り当てる
3. サービスのアセスメントをする

　それぞれのフェーズで行ったことについて評価をし、次の構築プロセスで役立てるようにします。