SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~

日本語版「JT-X1060」が公開 “世界に通用する”フレームワークをどう活用すればよいのか?

【第4回】X.1060の評価プロセスとまとめ

 2021年6月末、ITU-T(国際電気通信連合の電気通信部門)にて承認された、国際標準「X.1060」。同ドキュメントを参照しながら、エディタの一人として策定に携わった武井滋紀氏がセキュリティの体制づくり、運用の要諦を解説します。最終回となる第4回では、実際の評価プロセスを紹介しながら、どのように運用して活用すべきかを解説します。

日本語版の公開

 先日、情報通信技術委員会(TTC)の標準化会議において、ITU-T勧告「X.1060」の日本語版となるJT-X1060 - サイバーディフェンスセンターを構築・運用するためのフレームワーク』が標準として決定され、日本語版ドキュメントが公開されました 。

 これは正式な日本の標準でもあり、X.1060と同じ内容を日本語で参照していただけます。今後国内では、X.1060と同様に「JT-X1060」も利用いただければと思います。

 そして、日本語化にご尽力いただいた皆さんありがとうございました。今回の図につきましても、X.1060に対応したJT-X1060のものを利用しております。

前回までのおさらい

 前回は、X.1060の構築プロセスとマネジメントプロセスまでを解説。フレームワークの全体像として3つのプロセスと構築のフェーズは以下となります。

  • 構築プロセス
    1. サービスを選択する
    2. サービスを割り当てる
    3. サービスのアセスメントをする
  • マネジメントプロセス
  • 評価プロセス

 今回は、組織を継続的に改善し続けるための「評価プロセス」について説明します。

評価プロセス

 X.1060のフレームワークの全体像をもう一度見ていただくと、日々の運用の「マネジメントプロセス」の次が「評価プロセス」であり、その次に「構築プロセス」と循環する形になっています。これはPDCA(Plan-Do-Check-Action)サイクルと同様に考えますので、既に実践している組織もあるのではないでしょうか。

図1:「JT-X1060の図2」

図1:「JT-X1060の図2」
[画像クリックで拡大]

 しかしながら、このようにセキュリティ組織を計画的に見直し、再構築するレベルでの改善に取り組む企業や組織は多くないと思います。

 一時期は、CSIRT(Computer Security Incident Response Team)を企業・組織に設置する動きもみられました。一方でその後、業務内容や環境、状況の変化に応じてどの程度の見直しがなされたのでしょうか。

 なんとなく「セキュリティで何か起きたら、そこが対応するだろう」という意識のまま、環境や状況の変化への対応は担当者に丸投げ。いざ何か起きた時には、「こんなはずではなかった」という事態に陥ってしまうのではないでしょうか。

 『サイバーセキュリティ経営ガイドライン』の「付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」でも示されている通り、セキュリティ対応を行う組織としてはX.1060の「サイバーディフェンスセンター(CDC)」に対応する「セキュリティ統括(室)」が想定されています。SOC(Security Operation Center)やCSIRTがあるからではなく、セキュリティ統括の役割が企業・組織における“ビジネス課題”としてのサイバーセキュリティに対応するためには必要だと考えられています。

 何か起きた時のための組織としてのCSIRT設置からスタートしていたとしても、今現在はセキュリティ統括で示されるような役割を担える組織へ進化していますでしょうか。一朝一夕で立ち上がるような組織ではなく、各部署との連携、人材育成などは平常時に時間をかけて行う必要があります。こういったことからも、構築プロセスで考えた内容や目指すところにどこまで近づいているのかを評価し、必要であれば見直して改善することが求められます

 また、X.1060における実際の評価プロセスでは、構築プロセスの「3つのフェーズ」をそれぞれ評価します。

図2:「JT-X1060の図7」
図2:「JT-X1060の図7」
[画像クリックで拡大]

 図2で示しているものは、構築プロセスにおける各フェーズにおいて行ったことに対して評価し、ギャップの分析をしましょう、というものです。

 ちなみに構築プロセスは、以下3つのフェーズでした。

  1. サービスを選択する
  2. サービスを割り当てる
  3. サービスのアセスメントをする

 それぞれのフェーズで行ったことについて評価をし、次の構築プロセスで役立てるようにします。

次のページ
3つのフェーズにおける各評価の仕方

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
国際標準「X.1060」~セキュリティの組織作りと運用のフレームワーク~連載記事一覧

もっと読む

この記事の著者

武井 滋紀(タケイ シゲノリ)

NTTテクノクロス株式会社 セキュアシステム事業部 アソシエイトエバンジェリスト
CISSP、情報処理安全確保支援士。
各社のセキュリティ運用体制などのコンサルティングに従事するとともにエバンジェリストとして活動。日本セキュリティオペレーション事業者協議会の副代表などとしても活動し、国際...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15693 2022/03/16 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング