セキュリティオペレーション協議会(ISOG-J)および日本ネットワークセキュリティ協会(JNSA)はこのほど、「セキュリティ対応組織の教科書」の第3.2版を公開しました。同書はセキュリティ対応組織の構築と運営に関する包括的なガイドラインであり、国際電気通信連合の電気通信標準化部門(ITU-T)の国際勧告「X.1060(Framework for the creation and operation of a cyber defence centre)」に準拠しています。
改訂は最新のセキュリティ動向や技術進歩に対応するために行われました。例えば、サプライチェーン全体でセキュリティ対策が適切に実施されているかを確認するケーススタディが追記されたほか、ITU-T勧告X.1060で示されている64のサービス(※)をどのように選択すればよいか示した事例などが盛り込まれました。別紙となる「セルフアセスメントシート」(エクセル形式)も刷新され、第3.2.1版となりました。
同書のタイトルにもある「セキュリティ対応組織」とは、セキュリティに関する一連の活動全体を見通す存在であり、X.1060/JT-X1060において定義された用語「サイバーディフェンスセンター(CDC)」と同義です(JT-X1060はX.1060の日本語版で国内標準)。同書は、サイバーセキュリティに関する幅広い活動や業務を整理し、組織がその体制をどのように実現するかという側面に焦点を当てて解説しています。
サプライチェーン全体でのセキュリティ対策については、複数のグループ会社からなるA社という企業を想定し、A社でのセキュリティ対策実施状況をどのように確認するかを、順を追って記しています。A社は社内インフラを運用・監視しており、海外グループ会社の一部では独自に社内インフラを構築しているなか、サプライチェーンのリスクマネジメントとして他社からセキュリティ対策状況の確認が求められたという設定で解説されています。
例えば「自社SOCを運用している」とした場合には、X.1060/JT-X1060を共通言語として活用し、X.1060/JT-X1060で定められたサービスや成熟度、組織の体制について確認することでA社と他社とで認識のずれが生じにくくなるとしました。また、今後は「組織の成熟度などを評価する格付け制度等が整備されていくことで、より汎用的に自組織のセキュリティ対策の現状を示せるようになり、サプライチェーンを意識した対策が迅速に進められるようになることを期待したい」と記されています。
※X.1060/JT-X1060では カテゴリー(「CDCの戦略マネジメント」や「即時分析」といった9項目)ごとに、サービス(「リスクマネジメント」や「リスクアセスメント」といった64項目)が定義されています。CDCサービスは「セキュリティに関する様々な業務」と読み替えることができます。
