＜CODE BLUE 2023 講演レポート＞セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは

　NTTデータ先端技術は、2023年11月8日～11月9日に開催された情報セキュリティ国際会議「CODE BLUE 2023」に出展しました。2日目のOpenTalksに、NTTデータ先端技術から、サイバーセキュリティ事業本部 セキュリティイノベーション事業部 マネージドセキュリティサービス担当 担当部長 河島君知が登壇し、「セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは」と題して講演しました。

共通認識の形成に役立つ「セキュリティ対応組織の教科書」
　冒頭、SOC・CSIRT・情報セキュリティ推進室などセキュリティ対応組織の「機能」について、組織全体で「共通認識」を持つことが不可欠との考えを示し、そのフレームワークとしてJNSA（日本ネットワークセキュリティ協会）の「セキュリティ対応組織の教科書」とそれを活用するアプローチを紹介しました。「セキュリティ対応組織の教科書」は、ISOG-J加盟社をはじめとしたさまざまなセキュリティ事業者の知見がまとめられ、今も利用実績がフィードバックされ更新され続けているフレームワークであり、また国連専門機関「ITU-T（国際電気通信連合電気通信標準化部門）」に承認された国際勧告「X.1060」に準拠しているため、海外組織へも展開しやすいという特長があります。
　東京2020オリンピック・パラリンピックでも活用されるなどの実績もあり、セキュリティ対応組織の共通言語であるフレームワークとして、2023年10月には最新版（第3.1版）が公開されています。

セキュリティ業務を9カテゴリー・64サービスで整理
　セキュリティ対応組織が備える機能についてフレームワークを活用し組織全体で共通認識を持つことは、セキュリティ技術者・経営層・サプライチェーンの連携で大きなメリットをもたらします。
　フレームワークを使っていくにあたり「セキュリティサービス（業務）のリスト」「セキュリティサービス（業務）の表現と評価」「整理して終わりにしないために」の３点に分解し解説しました。
　まず、「セキュリティサービス（業務）のリスト」について、「セキュリティ対応組織の教科書」では、セキュリティ対応組織が担うべきセキュリティ業務を9カテゴリー・64サービスで示しています。併せて9つのカテゴリーに分類された業務をどういったサイクルで運用していくべきかが示されています。また、64サービスについては、それぞれ概要のみならずノウハウが盛り込まれており、業務の整理や連携などについて認識を深めるための参考となります。セキュリティ業務を行う上で取り扱う情報の性質や、メンバーの専門スキルの有無に応じた人材配置の考え方も示されており、セキュリティ組織の全体を俯瞰することができます。