日本語版「JT-X1060」が公開 “世界に通用する”フレームワークをどう活用すればよいのか?
【第4回】X.1060の評価プロセスとまとめ

2021年6月末、ITU-T(国際電気通信連合の電気通信部門)にて承認された、国際標準「X.1060」。同ドキュメントを参照しながら、エディタの一人として策定に携わった武井滋紀氏がセキュリティの体制づくり、運用の要諦を解説します。最終回となる第4回では、実際の評価プロセスを紹介しながら、どのように運用して活用すべきかを解説します。
日本語版の公開
先日、情報通信技術委員会(TTC)の標準化会議において、ITU-T勧告「X.1060」の日本語版となる『JT-X1060 - サイバーディフェンスセンターを構築・運用するためのフレームワーク』が標準として決定され、日本語版ドキュメントが公開されました 。
これは正式な日本の標準でもあり、X.1060と同じ内容を日本語で参照していただけます。今後国内では、X.1060と同様に「JT-X1060」も利用いただければと思います。
そして、日本語化にご尽力いただいた皆さんありがとうございました。今回の図につきましても、X.1060に対応したJT-X1060のものを利用しております。
前回までのおさらい
前回は、X.1060の構築プロセスとマネジメントプロセスまでを解説。フレームワークの全体像として3つのプロセスと構築のフェーズは以下となります。
-
構築プロセス
- サービスを選択する
- サービスを割り当てる
- サービスのアセスメントをする
- マネジメントプロセス
- 評価プロセス
今回は、組織を継続的に改善し続けるための「評価プロセス」について説明します。
評価プロセス
X.1060のフレームワークの全体像をもう一度見ていただくと、日々の運用の「マネジメントプロセス」の次が「評価プロセス」であり、その次に「構築プロセス」と循環する形になっています。これはPDCA(Plan-Do-Check-Action)サイクルと同様に考えますので、既に実践している組織もあるのではないでしょうか。

図1:「JT-X1060の図2」
[画像クリックで拡大]
しかしながら、このようにセキュリティ組織を計画的に見直し、再構築するレベルでの改善に取り組む企業や組織は多くないと思います。
一時期は、CSIRT(Computer Security Incident Response Team)を企業・組織に設置する動きもみられました。一方でその後、業務内容や環境、状況の変化に応じてどの程度の見直しがなされたのでしょうか。
なんとなく「セキュリティで何か起きたら、そこが対応するだろう」という意識のまま、環境や状況の変化への対応は担当者に丸投げ。いざ何か起きた時には、「こんなはずではなかった」という事態に陥ってしまうのではないでしょうか。
『サイバーセキュリティ経営ガイドライン』の「付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」でも示されている通り、セキュリティ対応を行う組織としてはX.1060の「サイバーディフェンスセンター(CDC)」に対応する「セキュリティ統括(室)」が想定されています。SOC(Security Operation Center)やCSIRTがあるからではなく、セキュリティ統括の役割が企業・組織における“ビジネス課題”としてのサイバーセキュリティに対応するためには必要だと考えられています。
何か起きた時のための組織としてのCSIRT設置からスタートしていたとしても、今現在はセキュリティ統括で示されるような役割を担える組織へ進化していますでしょうか。一朝一夕で立ち上がるような組織ではなく、各部署との連携、人材育成などは平常時に時間をかけて行う必要があります。こういったことからも、構築プロセスで考えた内容や目指すところにどこまで近づいているのかを評価し、必要であれば見直して改善することが求められます。
また、X.1060における実際の評価プロセスでは、構築プロセスの「3つのフェーズ」をそれぞれ評価します。

[画像クリックで拡大]
図2で示しているものは、構築プロセスにおける各フェーズにおいて行ったことに対して評価し、ギャップの分析をしましょう、というものです。
ちなみに構築プロセスは、以下3つのフェーズでした。
- サービスを選択する
- サービスを割り当てる
- サービスのアセスメントをする
それぞれのフェーズで行ったことについて評価をし、次の構築プロセスで役立てるようにします。
この記事は参考になりましたか?
- 国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~連載記事一覧
-
- 日本語版「JT-X1060」が公開 “世界に通用する”フレームワークをどう活用すればよいの...
- 日本企業が進めやすい「サイバーディフェンスセンター」の設置 X.1060実現に向けたアプロ...
- なぜ日本に有利な国際標準なのか? 各ドキュメントと比較して「X.1060」導入方法を解説
- この記事の著者
-
武井 滋紀(タケイ シゲノリ)
NTTテクノクロス株式会社 セキュアシステム事業部 アソシエイトエバンジェリスト
CISSP、情報処理安全確保支援士。
各社のセキュリティ運用体制などのコンサルティングに従事するとともにエバンジェリストとして活動。日本セキュリティオペレーション事業者協議会の副代表などとしても活動し、国際...※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア