国際基準「ITU-T X.1060サイバーディフェンスセンター構築・運用のフレームワーク」で整える今後のセキュリティ組織とは ～ ISOG-J 武井滋紀氏

　ネットワークやネットワークインフラを支える技術者の情報交流会議 Internet Week は「技術者のオフ会」などども呼ばれ、ここだけでしか話されない話題も多い。プロフェッショナルの情報交換のイベントだから内容が深く濃いのだ。

　本年のInternet Week 2021は、11月16日から11月26日にかけ、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）が主催しオンラインで開催される。

　セキュリティ関連セッションが年々充実しているInternet Weekだが、本稿では開催7日目の11月25日(木)に行われるプログラム「明日のセキュリティ組織のカタチ」について、日本セキュリティオペレーション事業者協議会（ISOG-J）の武井滋紀氏に話を聞いた。


-- なぜ今回このプログラムを企画したのですか?

　セキュリティへの対応の重要度が認識されるにつれ、組織内にCSIRTやSOCを持つことが多くなりました。しかしながらビジネスの周辺環境は変化を続け、セキュリティのインシデントはビジネス全体へ影響を及ぼすようになっています。セキュリティが今までのように一部のシステムの話だけではなく、ビジネスリスクの一つとして対処が必要です。今までのCSIRTやSOCの考え方や「1人CSIRT」と呼ばれるような一部のメンバーだけに任せて対応するのは難しくなってきているのではないでしょうか。

　このプログラムでは、セキュリティ体制を作るための一つのヒントとして、ある国際基準をご紹介します。2021年6月末にITU-T(国際電気通信連合の電気通信標準化部門)で策定されたサイバーリスク対応のための組織フレームワーク 国際勧告「ITU-T X.1060サイバーディフェンスセンター構築・運用のフレームワーク」です。

-- どんな国際基準ですか？

　既存のCSIRTやSOCを包含する形で今後のあるべきセキュリティの対応を行う組織のフレームワークを定めたものです。国際標準ですので、今後海外とのやり取りで求められるセキュリティ体制の基本となるドキュメントとして、利用できます。

-- すこし難しそうな印象です。

　そうですね。よく国際基準は「国内の事情と乖離していて実際に適用しようとすると難しい」というのはよく見聞きします。しかし、この国際標準がそれらと違う点は、日本からの提案も含まれる形で策定されていることです。フレームワークを実際に適用する段階では、国内のドキュメントを参考にすることができます。

-- その日本からの提案に関わった人も登壇するのですか。

　はい。実は私が、このフレームワーク策定に際して日本から提案を行ったメンバーの1人です。策定まで無事こぎつけて、今年のInternet Weekでこのフレームワークを自らご紹介できることを大変うれしく思います。フレームワークを実際にどう自分の組織に適用するか、日本から立案に携わった者として、当日は詳しくお話しします。

-- このセッションの見どころ、注目してほしいポイントはどこですか?

　日本の考え方が含まれた国際標準として、今後どのように変化するセキュリティに対応するのか。これまでの取り組みをどう新しいカタチにするのかがポイントです。

　先ほど申し上げたように、これまでの国際基準よりも日本の組織が取り入れやすくなっていると思います。策定に携わった者としては、ぜひ多くの方にこの基準を知っていただき、そしてご活用いただきたいです。

-- 今年のInternet Weekのテーマは「明日(あした)のカタチ」ですが、このプログラムが提案したい、あるいは参加者と探したい「明日のカタチ」とは何ですか？

　このフレームワークでは決まった形の組織を作ることが目的ではなく、継続的に改善をして変化に対応できる組織づくりができるようになっています。皆様それぞれが自分の組織に合った「明日のカタチ」を作っていただければと考えています。

-- どんな人にこのプログラムを聴いてほしいですか？

　企業内のSOCやCSIRT・内部統制の担当、セキュリティも含む経営企画室、CSO、CISO、CRO、またそういった方を補佐、支援、サポートする方々です。

-- 最後に一言、メッセージをお願いします。

　ビジネスを継続的に安定して行うためにはセキュリティについて考えなければならなくなっています。日本からの提案も反映された国際標準が多くの方のお役に立てればうれしいです。

元の記事を読む