＜CODE BLUE 2023 講演レポート＞セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは

　NTTデータ先端技術は、2023年11月8日〜11月9日に開催された情報セキュリティ国際会議「CODE BLUE 2023」に出展しました。2日目のOpenTalksに、NTTデータ先端技術から、サイバーセキュリティ事業本部 セキュリティイノベーション事業部 マネージドセキュリティサービス担当 担当部長 河島君知が登壇し、「セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは」と題して講演しました。

共通認識の形成に役立つ「セキュリティ対応組織の教科書」
　冒頭、SOC・CSIRT・情報セキュリティ推進室などセキュリティ対応組織の「機能」について、組織全体で「共通認識」を持つことが不可欠との考えを示し、そのフレームワークとしてJNSA（日本ネットワークセキュリティ協会）の「セキュリティ対応組織の教科書」とそれを活用するアプローチを紹介しました。「セキュリティ対応組織の教科書」は、ISOG-J加盟社をはじめとしたさまざまなセキュリティ事業者の知見がまとめられ、今も利用実績がフィードバックされ更新され続けているフレームワークであり、また国連専門機関「ITU-T（国際電気通信連合電気通信標準化部門）」に承認された国際勧告「X.1060」に準拠しているため、海外組織へも展開しやすいという特長があります。
　東京2020オリンピック・パラリンピックでも活用されるなどの実績もあり、セキュリティ対応組織の共通言語であるフレームワークとして、2023年10月には最新版（第3.1版）が公開されています。

セキュリティ業務を9カテゴリー・64サービスで整理
　セキュリティ対応組織が備える機能についてフレームワークを活用し組織全体で共通認識を持つことは、セキュリティ技術者・経営層・サプライチェーンの連携で大きなメリットをもたらします。
　フレームワークを使っていくにあたり「セキュリティサービス（業務）のリスト」「セキュリティサービス（業務）の表現と評価」「整理して終わりにしないために」の３点に分解し解説しました。
　まず、「セキュリティサービス（業務）のリスト」について、「セキュリティ対応組織の教科書」では、セキュリティ対応組織が担うべきセキュリティ業務を9カテゴリー・64サービスで示しています。併せて9つのカテゴリーに分類された業務をどういったサイクルで運用していくべきかが示されています。また、64サービスについては、それぞれ概要のみならずノウハウが盛り込まれており、業務の整理や連携などについて認識を深めるための参考となります。セキュリティ業務を行う上で取り扱う情報の性質や、メンバーの専門スキルの有無に応じた人材配置の考え方も示されており、セキュリティ組織の全体を俯瞰することができます。

　次の「セキュリティサービス（業務）の表現と評価」については、セキュリティ業務を「何を」「誰が」「どの程度」行っているかで表現することだと紹介しました。
　まず「何を」「誰が」を明らかにしていきます。「何を」とは64のサービスリストから自組織がどういったセキュリティ業務を行っているかを選択することです。「誰が」では、各業務を行っているのがインソース（自社人材）なのか、アウトソース（MSS：Managed Security Service）なのかを整理します。この際、インソース業務の場合は担当者の所属と氏名まで把握することで責任範囲や権限の偏りなどを再確認、またアウトソース業務の場合は日中・夜間のコンタクト先まで明らかにすることで、負荷や形骸化の状態を評価することもできます。




[画像1]https://user.pr-automation.jp/simg/1718/81903/700_297_2024011715155365a7709997c5f.png




　さらに「何を」「どの程度」行っているかも評価します。評価はインソース業務とアウトソース業務のそれぞれに用意された評価軸5段階と対象外で表現します。インソース業務の評価は担当者へのヒアリングではなく証跡で判定し、アウトソース業務はサービスSLAや報告書の内容に関する理解度を確認することにより、評価の妥当性を向上させることができます。

　冒頭にある通り、セキュリティ対応組織の機能の共通認識を組織全体で持つことこそが重要であり、この「何を」「誰が」「どの程度」行っているのかを共有することこそが共通認識の形成において非常に重要となります。

　最後に「整理して終わりにしないために」と題し、継続して改善していくことが大事と強調しました。セキュリティ業務について整理して終わりにせず継続的に改善していくために、「何を」「誰が」「どの程度」行っているのかだけではなく、「優先度」と「目標」を追加したサービスポートフォリオを設定します。「何を」について実施するべき業務なのか優先度を付け、また「どの程度」について目指すべき状態を目標として定めます。このサービスポートフォリオを定期的に評価して見直しを行い継続的な仕組みとすることで、セキュリティ技術者・経営層・サプライチェーンを繋ぐ共通認識が一層強固なものになると述べました。




[画像2]https://user.pr-automation.jp/simg/1718/81903/700_366_2024011715155765a7709d225e9.png




まとめ
　「セキュリティ対応組織の教科書」では、セキュリティ対応組織が担うべきセキュリティ業務を9カテゴリー・64サービスで示しています。それぞれに対して誰が何をどの程度実施しているのか現状を評価することで、経営層は、自組織のセキュリティ対応組織の弱み・強み・運用体制を認識してセキュリティ対応組織からの提案・報告を、よりしっかりと判断できます。
　さらに、目指すべき状態を目標として定め継続的に取り組むことで、セキュリティ対応組織は、国際勧告 X.1060に準拠した強固なものとなり、セキュリティ技術者・経営層・サプライチェーンを繋ぐ共通認識は一層深いものとなるでしょう。


参考情報
・当社社員が作成協力した「セキュリティ対応組織の教科書 第3.1版」が公開されました
https://www.intellilink.co.jp/topics/notification/2023/101700.aspx

※記載されている商品名、会社名、団体名は、一般に各社の商標または登録商標です