[レポート][NTTデータ先端技術株式会社] セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは​​ – CODE BLUE 2023 #codeblue_jp

[レポート][NTTデータ先端技術株式会社] セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは​​ – CODE BLUE 2023 #codeblue_jp

CODE BLUE 2023で行われた「[NTTデータ先端技術株式会社] セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは」というセッションのレポートです。
Clock Icon2023.11.08

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、AWS事業本部@福岡オフィスのべこみん(@beco_minn)です。

今回はCODE BLUE 2023で行われた以下のセッションのレポートです。

[NTTデータ先端技術株式会社] セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは

SOCやCSIRTなどのセキュリティ対応組織を構築・マネージメントするフレームワークにITU-T国際標準勧告X.1060がある。
日本では勧告に基づき「セキュリティ対応組織の教科書 第3.0版」が今年リリースされた。本フレームワークを用いることにより、セキュリティ対応組織関係者全員で組織が備えているセキュリティ対応機能および有用性について共通認識を持つことができる。
本講演では、フレームワークの概要と活用方法を紹介する。

Presented by : 河島 君知 (セキュリティイノベーション事業部 担当部長)

レポート

  • はじめに
    • セキュリティ技術者・経営層・サプライチェーンをつなぐには?
    • 共通認識を持つためには?
    • フレームワークについて
      • 日本で作られた「セキュリティ対応組織の教科書 第3.0版」
      • 国際勧告化した X.1060
  • アジェンダ
    • 身近な課題の共有
    • フレームワークの背景
    • フレームワークの利用方法
    • まとめ
  • 身近な課題の共有
    • 自分の組織にどのようなセキュリティ業務があるか知っていますか?
      • ある組織の場合、インシデントが発生するとSOCが検知→CSIRTがハンドリング
      • 業務が見えているとセキュリティ対応の全体を俯瞰出来る
    • 自分の所属組織はどのようにセキュリティ業務を表現・評価しているか?
      • 何を、誰が、どの程度
      • 海外拠点やサプライチェーンなど関係する組織も同じように評価出来る
      • 表現・評価方法が決まっていると良い
  • フレームワークの背景
    • 「セキュリティ対応組織の教科書 第3.0版」
      • 国際勧告 X.1060に日本での運用を組み合わせて作られたもの
      • 作成したのはISOG-J(日本セキュリティオペレーション事業者協議会)
    • 元々2016年にセキュリティ対応組織の教科書は作られていた。
    • その後、2021年にX.1060として国際勧告化
    • 2022年に日本標準化(JT-X1060)
    • セキュリティ対応組織の共通言語として使うフレームワーク
  • フレームワークの使い方
    • セキュリティサービス(業務)のリスト
      • 9カテゴリー、64サービスのリストからなる
      • CDC(Cyber Defence Centre) = セキュリティ対応組織
      • 長期サイクルと短期サイクルで対応を行うのが良い
      • セキュリティ技術者のスキルを活かす場所の考え方(セキュリティ対応の教科書のグラフ)
        • 「取扱情報の性質」及び「専門スキルの必要性」の観点から提案された割り当て
      • まとめ:リストはセキュリティ業務の共通言語
    • セキュリティサービス(業務)の表現と評価
      • 「何を」「誰が」「どの程度」行なっているかを明らかにする
      • 「何を」「誰が」行っているかを明らかにする
        • 「何を」セキュリティ業務として行なっているか選択する
          • 64のサービスリストから業務を選択する
        • 「誰が」対象業務を行っているか書き出す
          • 社内業務は、担当者の所属と氏名まで確認する
      • 「何を」「どの程度」行っているか評価する
        • インソースの実行レベル、アウトソース(MSS等)の実行レベルで評価する
        • インソース
          • 証跡で判断する
        • アウトソース
          • 丸投げは危険
      • まとめ:「何を」「誰が」「どの程度」を組織で共有することで、サービスリストをさらに共通言語化する
    • 整理して終わりにしないために
      • 継続的に改善する
        • 構築プロセス→マネジメントプロセス→評価プロセス→構築プロセス
      • 構築プロセスで「優先度」と「目標」を設定する
      • 優先度まではいかなくても、程度は決めておきたい
      • 目標は実行レベルで決める
      • サービスポートフォリオを定期的に評価して見直しを行う
        • セキュリティ対応組織の教科書の第3.1版でサービスポートフォリオシートが追加された
  • まとめ
    • セキュリティ技術者・経営層・サプライチェーンをつなぐために
    • 共通認識を持つために
    • 日本および世界で使えるフレームワークとして

感想

企業におけるセキュリティ部門(SOC, CSIRT)で活用出来るフレームワークに関するセッションでした。

自分も一度紹介いただいたフレームワークを確認し、企業におけるセキュリティ部門のあり方や弊社の取り組みについて興味を持とうと思います。

参考:

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.