見出し画像

「セキュリティ対応組織の教科書 第3.0版」の紹介

サイボウズのセキュリティ室

2023年2月、日本セキュリティオペレーション事業者協議会 (ISOG-J) より「セキュリティ対応組織の教科書 第3.0版」が公開されました。今回はこちらを紹介します。

本書について

企業内のSOC、CSIRT、内部統制担当、CSO、CISOやそういった方をサポートする方々に向けて書かれたもので、自分たちのセキュリティ組織は何ができていて何が足りないのかを把握して今後の実現方法を示す、実用書のような位置づけです。
それぞれの立場に応じて意識すべき観点も記されており、現在のセキュリティ体制を見直すための一つのヒントになりそうです。

本書は、2016年に初版が発行され、国連の専門機関ITU-Tにも照会されています。そのITU-Tが発行した X.1060 の日本語版 JT-X1060 の知見を今度はISOG-Jが取り入れ、より日本に合わせた形で実践的な内容になっています。今回はX.1060の改訂に伴い、2018年リリースの第2.1版から5年ぶりの全面改訂となりました。
※X.1060とは、規模や業種を問わずさまざまな組織で利用できるサイバーリスク対応のための組織のフレームワークを定義した文書です。

セキュリティ対応組織とは

各企業の事業戦略やその中のセキュリティ戦略にはそれぞれ違いがあり、一言に「セキュリティ対応組織」と言っても様々な形態がありますが、共通した存在意義としては以下の2点です。

  • インシデント発生の抑制 

  • インシデント発生時の被害最小化

この2点の達成に向けてセキュリティ対応組織に求められる機能や役割などが記載されています。

セキュリティチームの役割を把握する

まず、以下2つの軸で自組織で実施するべきか?アウトソースするべきか?4つの領域から優先度を決めます。

1.必要なのはセキュリティ専門スキル?それとも社内スキル?
2.扱うのは攻撃者(社外)の情報?被害者(社内)の情報?

続いて、4領域をさらに9つのカテゴリー・54の役割に分かれた定義の中から、どこからどこまで自分たちで取り組むべきか、セキュリティチームの役割を決めます。
一言にセキュリティ業務と言っても幅広いため、どこまでを自分たちで実施するのか整理します。
本書では、この役割と機能について詳しく説明が書かれており、どんな役割をアウトソースすればよいか、自組織で実施するのはどのような役割なのか?を検討する材料となります。

セキュリティ対応の4領域 / セキュリティ対応組織の教科書より
セキュリティ対応の役割分担 / セキュリティ対応組織の教科書より


成熟度評価

役割が決まったら、その役割に応じたセキュリティチームの成熟度を評価します。本書には別紙「セキュリティ対応組織成熟度セルフチェックシート」が付属されており、こちらを活用します。

「セキュリティ対応組織成熟度セルフチェックシート」はこちら。

このセルフチェックにより、各機能・役割別に実行レベルを測り成熟度を可視化することができます。

機能別成熟度イメージ / セキュリティ対応組織の教科書より

具体的な観点で組織を深堀していくのは個別の検討が必要ですが、セルフチェックすることで、現在のインシデント対応組織のレベル、強みや弱みを客観的に確認し、今組織がやっていることを再整理するための定期チェックツールとして活用できるでしょう。

おわりに

セキュリティ組織に求められる業務範囲は増え、理想とする組織の機能や役割全てを満たす組織を構築するのはとても難しいと思います。
その中でも自組織の「できていること、できていないこと」、あるいは「できているレベルを認識する」ために、セキュリティ対応能力を向上させる物差しとして、ぜひ本書を活用して客観的に自組織の状況を把握してみてはいかがでしょうか。
これからCSIRTを作ろうとしている方にも体系的な知識を持って取り掛かるための道筋となるかもしれません。

本書はISOG-Jのサイトからダウンロードすることが可能です。



サイボウズのセキュリティ室は、今後も企業のセキュリティ組織に役立つガイドラインや、書籍の紹介記事を掲載していきます。
この記事がよかった、参考になったと思われた方は「スキ」のクリックをお願いします。
また、セキュリティ室の取り組みや、セキュリティニュース、サイボウズに受信した怪しいメールなどの情報をツイートしています。@CybozuSecurity のフォローもお願いいたします。


この記事が気に入ったらサポートをしてみませんか?