Zenn
Cyber-sec+Publicationへの投稿
📖

セキュリティ対応組織の教科書 - 深まる理解と深まる課題

QQ
2024/11/20に公開
Security
tech

はじめに

製造業でセキュリティ戦略の立案,セキュリティ施策の実行,規定まわりの整備からCSIRTまでなんでもやる人です.
この度,CSIRTのテコ入れ,PSIRT設立に向けた準備として,一般社団法人サイバーセキュリティ連盟の「サイバーセキュリティ組織・オペレーション研究」ワーキンググループに参加させていただき,改訂された「セキュリティ対応組織(SOC/CSIRT)の教科書」を読み直し,話し合い・検討をすすめた際の気づきをまとめさせていただきます.

セキュリティ対応組織の構築と運用

  1. 前提:
    本ドキュメントででてくる「サービス」とは「対象」と近い意味合いになっている.

    • サービスカタログの作成: 組織が対処すべきセキュリティサービスを明確にする.
      組織が対処すべきセキュリティサービスを明確にすることが難しい場合があります.業種や組織の特性に応じてサービスを選定する際に,標準的なフレームワークが適用できないことがあります.
    • サービスプロファイルの作成: 各サービスを誰が担当するかを決定する.
      各サービスを誰が担当するかを決定する際に,内部リソースと外部委託のバランスを取るのが難しいことがあります.専門的なスキルが必要な領域では,外部委託が不可欠ですが,委託先管理や,外部委託することによるリスクも伴います.
    • サービスポートフォリオの作成: 現状と目標のサービスレベルを評価し,改善計画を立てる.
      現状と目標のサービスレベルを評価し,改善計画を立てる際に,組織内でのセキュリティ意識やリソースの限界によって,現実的な目標設定が難しい場合があります.

  2. 構築プロセス:

    • 戦略マネジメント: 長期的な視点でセキュリティ対応の方針を策定し,必要な体制やプロセスを構築する.
      長期的な視点でセキュリティ対応の方針を策定することが求められますが,経営層とのコミュニケーション不足や理解不足によって,方針策定が進まないことがあります.
    • 運用: 日常的なセキュリティ監視やインシデント対応を行う.
    • 対応: インシデント発生時に迅速かつ効果的に対処する.
      どのレベルの監視・対応が求められるのか(24/365?),人材不足や技術的な限界によって迅速かつ効果的な対応が困難なケースがあります.また,新たな脅威に対する即応性も求められます.外部SOCサービスを利用することである程度解決できる課題ですが,費用負担が大きく利用できない組織が多く,運用・対応に課題を抱えている組織が多いことが容易に想像できます.

  3. 評価プロセス:

    • ギャップ分析: サービスカタログ,プロファイル,ポートフォリオの各フェーズでギャップを分析し,改善点を特定する.
      サービスカタログ,プロファイル,ポートフォリオの各フェーズでギャップを分析し改善点を特定する際に,組織全体での合意形成が難しいことがあります.また,評価基準自体が不明確である場合もあります.

多くの組織が直面する課題として,サービスカタログ,プロファイル,ポートフォリオの準備が不十分であることが考えられます.これらはセキュリティ対応組織を効果的に運用するための基本的な要素であり,その欠如は組織全体のセキュリティ戦略に影響を及ぼします.
これらの準備には地道な努力が求められます.時間と労力がかかりますが,長期的には組織全体のセキュリティレベル向上につながるので,頑張りましょう.心が折れそうになるのはみんな同じなので,安心してください.
また,多くの課題は組織内外のコミュニケーション不足やリソース不足,セキュリティ文化の浸透不足によって生じます.これらの問題を解決するためには,経営層から現場まで一貫したセキュリティ意識を持ち,戦略的アプローチをとることが必要です.

組織体制と役割分担

  1. 役割分担:

    • インソースとアウトソースのバランスを考慮し,どのサービスを内部で実施し,どれを外部委託するかを決定する.
    • セキュリティ専門スキルが必要な領域は外部専門組織に依頼することも検討する.
      組織内で何をどのレベルで対応するのかを決めてから役割分担しないと,過剰な対応(費用負担)になってしまう.合意形成するのが最大の難関?

  2. 組織パターン:

    • サイバーセキュリティ経営ガイドラインセキュリティ統括機能の4類型のどれに分類される?
      サイバーセキュリティ経営ガイドライン サイバーセキュリティ体制構築・人材確保の手引き[1]

継続的な改善

  • セキュリティ対応組織は,環境やビジネス状況の変化に応じて柔軟に見直しと改善を続けることが重要です.X.1060/JT-X1060フレームワークに基づき,構築・運用・評価のサイクルを繰り返すことで,組織全体のセキュリティレベルを向上させることができます.

これらのポイントは「セキュリティ対応組織(SOC/CSIRT)の教科書」[2]に基づいており,自組織に適した形で実践していくことが推奨されます.

さいごに

一人でやっていると,行き詰まったり,見落としたりすることもあるので,ワーキンググループに参加し,話し合うことができたことは非常に有意義なものでした.ワーキンググループメンバーのおかげで,JT-X1060フレームワークの理解を深めることができ,自組織での活動に役立ちました.
興味のある方は,是非Cyber-sec+ Slack(通称:Security Slack)に参加して,ご質問ください.

追記

セキュリティ対応組織の教科書 第3.2版が10月17日に公開予定されました.悩んだりハマったりした点の助けとなる補足資料が提供されています.
今回用意された,CDCサービスポートフォリオセルフチェックシート[3]を活用することで,効率的・効果的にサービスポートフォリオ[4]が作成できると思いますので,是非活用してみてください.

Citations:
[1] https://www.meti.go.jp/policy/netsecurity/mng_guide.html
[2] https://isog-j.org/output/2023/Textbook_soc-csirt_v3.2.pdf
[3] https://isog-j.org/output/2023/Textbook_soc-csirt_v3.2.1_selfassessment.xlsx
[4] https://isog-j.org/output/2023/Textbook_soc-csirt_v1.0_serviceportfolio.xlsx

Cyber-sec+
Cyber-sec+Publication

サイバーセキュリティ特化コミュニティ:Cyber-sec+(サイバーセキュリティ プラス)のオンラインコミュニケーションスペース:Cyber-sec+ Slack(通称:Security Slack)は、サイバーセキュリティに関する情報共有・情報交換を目的に匿名で参加可能です。気軽に質問・議論を展開することができます。

Discussion