＜CODE BLUE 2023 講演レポート＞セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは

　次の「セキュリティサービス（業務）の表現と評価」については、セキュリティ業務を「何を」「誰が」「どの程度」行っているかで表現することだと紹介しました。
　まず「何を」「誰が」を明らかにしていきます。「何を」とは64のサービスリストから自組織がどういったセキュリティ業務を行っているかを選択することです。「誰が」では、各業務を行っているのがインソース（自社人材）なのか、アウトソース（MSS：Managed Security Service）なのかを整理します。この際、インソース業務の場合は担当者の所属と氏名まで把握することで責任範囲や権限の偏りなどを再確認、またアウトソース業務の場合は日中・夜間のコンタクト先まで明らかにすることで、負荷や形骸化の状態を評価することもできます。




[画像1]https://user.pr-automation.jp/simg/1718/81903/700_297_2024011715155365a7709997c5f.png




　さらに「何を」「どの程度」行っているかも評価します。評価はインソース業務とアウトソース業務のそれぞれに用意された評価軸5段階と対象外で表現します。インソース業務の評価は担当者へのヒアリングではなく証跡で判定し、アウトソース業務はサービスSLAや報告書の内容に関する理解度を確認することにより、評価の妥当性を向上させることができます。

　冒頭にある通り、セキュリティ対応組織の機能の共通認識を組織全体で持つことこそが重要であり、この「何を」「誰が」「どの程度」行っているのかを共有することこそが共通認識の形成において非常に重要となります。

　最後に「整理して終わりにしないために」と題し、継続して改善していくことが大事と強調しました。セキュリティ業務について整理して終わりにせず継続的に改善していくために、「何を」「誰が」「どの程度」行っているのかだけではなく、「優先度」と「目標」を追加したサービスポートフォリオを設定します。「何を」について実施するべき業務なのか優先度を付け、また「どの程度」について目指すべき状態を目標として定めます。このサービスポートフォリオを定期的に評価して見直しを行い継続的な仕組みとすることで、セキュリティ技術者・経営層・サプライチェーンを繋ぐ共通認識が一層強固なものになると述べました。




[画像2]https://user.pr-automation.jp/simg/1718/81903/700_366_2024011715155765a7709d225e9.png