はじめに
近年では、デジタル化が進んだことにより多くの企業がさまざまな恩恵にあずかっている一方、セキュリティリスクも高くなっています。セキュリティインシデントを防ぐためには事前の対策が必須であり、専門の組織や責任者の設置は有効な選択肢の一つです。本記事では、情報セキュリティ組織やIT関連の責任者について解説していきます。
目次
- セキュリティインシデントへの対策
- 企業の情報セキュリティ組織と責任者
- SOC(Security Operation Center)とは
- CSIRT(Computer Security Incident Response Team)とは
- DSIRT(Digital Service Security Incident Response Team)とは
- PSIRT(Product Security Incident Response Team)とは
- CISO(Chief Information Security Officer)とは
- CDO(Chief Digital Officer)とは
- CIO(Chief Information Officer)とは
セキュリティインシデントへの対策
セキュリティインシデントとは、情報セキュリティにおける事件や事故などの、脅威となる事象のことです。例として、コンピュータウイルスをはじめとしたマルウェアへの感染や不正アクセス、機密情報の漏洩・流出などが挙げられます。
サイバー攻撃の手法は年々多様化、複雑化し、既存のセキュリティ対策だけでは防ぎきれないことも少なくありません。そのため、これらを防ぐ、あるいは発生しても被害を最小限に抑えるために日々活動する組織や責任者の設置が重要となります。セキュリティインシデント対策は業務範囲が広く、一つの組織で対応できるものではありません。また、緊急時の対処のためには技術的な知見以外にも経営的な視点が必要になるなど、求められるスキルも広範におよびます。そこで、担当する業務や分野ごとに複数の組織や責任者を設置し、連携してセキュリティインシデントに立ち向かうのが一般的です。企業の業務内容や組織体系により、必要な情報セキュリティ組織や責任者は異なります。
企業の情報セキュリティ組織と責任者
代表的な情報セキュリティ組織は以下の通りです。
- SOC(Security Operation Center)
- CSIRT(Computer Security Incident Response Team)
- DSIRT(Digital Service Security Incident Response Team)
- SSIRT(Service Security Incident Response Team)
- PSIRT(Product Security Incident Response Team)
また、代表的なIT業務関連の責任者は以下の通りです。
- CISO(Chief Information Security Officer)
- CDO(Chief Digital Officer)
- CIO(Chief Information Officer)
| 名称 | 立場 | SOC | サイバー攻撃の検知・分析・対策をする専門組織 | CSIRT | 情報システムに関するセキュリティ専門組織 |
|---|---|
| DSIRT/SSIRT | デジタルサービスに関するセキュリティ専門組織 | PSIRT | 製品に関するセキュリティ専門組織 | CISO | 情報セキュリティの最高責任者 |
| CDO | IT活用サービスの最高責任者 | CIO | IT資産管理、情報技術の最高責任者 |
これら組織や責任者について、次の章で詳しく解説していきます。
SOC(Security Operation Center)とは
SOCとは、「Security Operation Center」の略で、セキュリティ体制を監視し、セキュリティに関する対策を講じる組織を指します。ネットワーク、サーバなどのあらゆるシステムを監視し、サイバー攻撃やその予兆の検知・分析を行い、その対応策のアドバイスなどを行います。
SOCの役割と業務内容
SOCには、次のような役割があります。
- ネットワーク機器やデバイスなどの監視、それらから出力されるログの解析
- サイバー攻撃を検知・分析し、その対策のアドバイスをする
- サイバー攻撃発生時の影響範囲の特定
- 新たな攻撃や脆弱性に対する情報分析と、検出手法の開発
SOCは、すべてのセキュリティシステムをリアルタイムでスキャンする役割を担っており、サイバー攻撃などの脅威を「検知」することに重点を置いた組織です。いわば最初の防衛ラインであり、潜在的なサイバー脅威から企業のセキュリティインフラを守るために24時間365日体制で活動しています。
SOCに必要なスキル
SOCに求められるスキルには、次のようなものがあります。
- サイバー攻撃の痕跡を解析し、証拠を探すスキル(コンピュータフォレンジック)
- 他社のソフトウェアやハードウェア製品を分解・解析し、動作やソースコード、仕様などを調査するスキル(リバースエンジニアリング)
- インシデント対応と文書化のスキル
- コミュニケーションを図り、周囲と連携を行うスキル
- ハッキングスキル
SOCは、進化する脅威の状況に適応するためにプログラミングや倫理的なハッキングなど、技術的なスキルに習熟している必要があります。また、サイバー攻撃を受けた際の影響範囲、システムの評価などインシデントへの対応スキル、コミュニケーションスキルや報告する際に報告書にまとめる文書化のスキルなどさまざまな力が必要になります。
SOCに関する解説はこちら「SOCを強化し、サイバー攻撃に備えた組織作りを!」もご覧ください。
CSIRT(Computer Security Incident Response Team)とは
CSIRTとは「Computer Security Incident Response Team」の略で、セキュリティインシデント発生の報告を受け、調査し、対応する組織のことを指します。
CSIRTの役割と業務内容
CSIRTには、次のような役割があります。
- 企業内のセキュリティ対策・改善策への関与・支援
- 企業を代表するセキュリティ対応組織として外部との交流、情報収集
- 社内でのセキュリティ関連情報の共有や教育活動
- 専門知識を駆使してインシデントに対応し、被害を最小限に抑える
- 社外からの情報・報告を受け、対応窓口となる
CSIRTは、インシデントが発生した際の「対応」に重点を置いた組織です。インシデントが発生した場合、速やかに原因を分析し、影響範囲を明確にすることで、被害を最小限に抑えることを目的としています。
CSIRTに必要なスキル
CSIRTに求められるスキルには、次のようなものがあります。
- 情報を正しく伝えるコミュニケーションスキル
- 情報に基づいて適切な判断をするスキル
- セキュリティエンジニアとして、さまざまな開発やレイヤーに携わった十分な経験と知識(フルスタック・フルレイヤー)
- インシデントを管理・処理する者としてのストレス耐性と交渉力
CSIRTの業務内容は多岐にわたります。どの業務を担当していてもインシデントへの対応は迅速に行う必要があるため、CSIRTにはインシデントに対応するためのIT知識と技術はもちろん、他の担当者やCISOのような責任者に状況や情報を正確に伝える力も必須になります。
CSIRTに関する解説はこちら「CSIRTとは?サイバー攻撃に備えた組織作り!SOCとの違いも解説」もご覧ください。
DSIRT(Digital Service Security Incident Response Team)とは
DSIRTとは「Digital Service Security Incident Response Team」の略で、顧客が利用するデジタルサービスを継続的かつ安全に提供するために、サービス継続を脅かす外部からの脅威に対するセキュリティに特化した組織のことを指します。
DSIRTの役割と業務内容
DSIRTには、次のような役割があります。
- サービス開発ライフサイクルにおけるリスクマネジメント
- 自社サービスを利用する顧客の安全や個人情報を守る
- 自社サービスを安全で継続的に利用できるように脅威から守る
- サービスの悪用や炎上を想定した対応計画の策定
- 大規模なサービスの悪用や炎上が発生した際の対応
CSIRTと同様に、セキュリティ情報の収集と検知、発見された問題の分類や分析、問題解決のための対応やサービス修正、修正したサービスの公開などを担当します。また、サービスに対するDSIRTの体制、ルール、行動手順の確立を支援し、インシデント対応フロー、アクションリストの作成も行います。
DSIRTに必要なスキル
DSIRTには、CSIRTと同じスキルが必要とされます。
- 情報を正しく伝えるコミュニケーションスキル
- 情報に基づいて適切な判断をするスキル
- セキュリティエンジニアとして、さまざまな開発やレイヤーに携わった十分な経験と知識(フルスタック・フルレイヤー)
- インシデントを管理・処理する者としてのストレス耐性と交渉力
また、DSIRTでは上記スキルに加えて、デジタルサービスに特化した知識が必要になります。
DSIRTとSSIRT
DSIRTは、SSIRTと呼ばれることもあります。SSIRTとは、「Service Security Incident Response Team」の略で、顧客が利用するサービスなどにおいて発生するセキュリティインシデントの対策チームという意味です。
PSIRT(Product Security Incident Response Team)とは
PSIRTとは「Product Security Incident Response Team」の略で、主にネットワークに接続される製品に関するセキュリティの専門組織のことを指します。自社で製造・開発した製品・サービスのセキュリティレベルを向上させ、インシデントが発生した場合に対応するための組織です。
PSIRTの役割と業務内容
PSIRTには、次のような役割があります。
- 製品開発に携わる他のメーカーや組込みソフトウェア開発会社など、さまざまな企業・団体・機関との連携
- 製品・サービスのセキュリティレベルを向上させるための安全管理
- セキュリティ面でのユーザサポート
- 製品・サービスに関するインシデントが発生した場合の対応
PSIRTはIoTデバイスのメーカーだけでなく、これらのIoTデバイスを使ったサービスやソリューションを開発・提供するサービスプロバイダー、ソリューションベンダー、システムインテグレーターにとっても重要な役割を担っています。
PSIRTに必要なスキル
PSIRTには、CSIRTと同じスキルが必要とされます。
- 情報を正しく伝えるコミュニケーションスキル
- 情報に基づいて適切な判断をするスキル
- セキュリティエンジニアとして、さまざまな開発やレイヤーに携わった十分な経験と知識(フルスタック・フルレイヤー)
- インシデントを管理・処理する者としてのストレス耐性と交渉力
PSIRTでは、CSIRTで必要となるスキルに加えて、製品開発に関わるさまざまな部署や企業と連携し、幅広く効果的なコミュニケーションを図るスキルが必要になります。
CISO(Chief Information Security Officer)とは
CISOは「Chief Information Security Officer」の略で、日本語に訳すと「最高情報セキュリティ責任者」という意味になります。セキュリティ戦略を確立し、データ資産を確実に保護する責任を担っています。
CISOの役割と業務内容
CISOには、次のような役割があります。
- 部門間の橋渡し役を担い、セキュリティ対策の取り組みを全社に展開する
- 従業員のセキュリティ意識向上トレーニングの実施
- 安全なビジネスおよびコミュニケーション手法の開発
- ベンダーからのセキュリティ製品の選択と購入
- 関連機関の規則遵守の確認
CISOの役割は、情報漏洩などのセキュリティインシデントへの対応に加え、新たな脅威を予測、評価し、積極的に管理することです。IT資産を保護し、その価値を維持・向上させることで、企業の経営上の価値を高めることにつながります。
CISOに必要なスキル
CISOに求められるスキルには、次のようなものがあります。
- プレッシャーの中で冷静さを保つスキル
- 技術およびセキュリティに関する豊富な知識
- 社内外問わず強い関係を築くことができるコミュニケーションスキル
- 強いリーダーシップ
- 企業のミッションに沿った戦略的な計画を立案するスキル
情報セキュリティ対策は、リスクや損失といった負の側面がメインテーマとなり、ビジネスにどう貢献するかという観点で語られることはほとんどありません。しかし、CISOが経営陣の一員として情報セキュリティ対策に取り組むためには、想定されるリスクや損失に取り組むだけでなく、ビジネスの視点に立った運用をすることが必要になります。
CISOに関する解説はこちら「CISO(最高情報セキュリティ責任者)、対サイバー攻撃の司令塔!?」もご覧ください。
CDO(Chief Digital Officer)とは
CDOは「Chief Digital Officer」の略で、日本語に訳すと「最高デジタル責任者」という意味になります。企業のDX (デジタルトランスフォーメーション)推進のリーダーとして、日本企業でも設置されるようになりました。
セキュリティインシデントを主に担当する役職ではありませんが、DX戦略を立てる際に企業が保有するさまざまなデータの活用にあたり、リスクマネジメントをする必要があるでしょう。
ちなみに、同じくCDOと呼ばれる役職に、「Chief Data Officer」(最高データ責任者)があります。こちらはデータ活用におけるリーダーですが、説明がなく単に「CDO」と表記された際は「最高デジタル責任者」を指すことが多いため、本稿でもそのように使用します。
CDOの役割と業務内容
CDOには、次のような役割があります。
- 企業保有のデータの管理、分析
- 単純業務の自動化を推進し、生産性を向上させる
- 企業の環境、文化をデータ主導にする
- デジタル技術を利用した新しい事業を生み出す
企業全体の経営方針を決めるのはCEO(Chief Executive Officer)ですが、デジタル部門の総責任者として、かつ経営陣の立場から企業全体のデジタル変革を推進する役割を担っているのがCDOです。企業が目指す理想や目標を実現するために、デジタルの視点から戦略を練り、支えていきます。単にデジタル技術を利用するだけではなく、デジタルをもとにした戦略を立て、企業の文化や環境を変え、既存のものから新たな価値を生むのがDXであり、DXの舵取り役であるCDOの役割です。
CDOに必要なスキル
CDOに求められるスキルには、次のようなものがあります。
- ITに関する幅広い知識
- 他の経営幹部など、技術者ではない社員にも伝わるように説明する力
- デジタル部門以外を含んだ各部門をまとめるためのリーダーシップ
- 経営陣としての思考力
- 高い柔軟性と行動力
DXを推進する役割であるためITに関する知見も求められますが、技術者として優秀な人物がCDOに向いているとは限りません。CDOは経営陣の一員であるため、リーダーシップはもちろん、自社の文化や環境に合ったDX戦略を推し進める思考力と行動力が求められます。また、大幅な変革案には反対意見が上がることも予想されるため、根気強さと丁寧な情報発信力、またコミュニケーションを円滑に行い周囲に溶け込む力が必要になるでしょう。
CIO(Chief Information Officer)とは
CIOは「Chief Information Officer」の略で、日本語に訳すと「最高情報責任者」という意味になります。CEOやCFO(Chief Financial Officer)と同様に経営陣の一員であり、企業のIT戦略における最高責任者を指します。
CDOと同様、セキュリティインシデントを主に扱う役職ではありませんが、ITを活用する立場であるため、ファイアウォールなどのセキュリティ技術やセキュリティオペレーションセンター(SOC)との連携も必要になってきます。
CIOの役割と業務内容
CIOには次のような役割があります。
- 組織のテクノロジー戦略の設定と主導を支援
- システムの可用性と信頼性を確保
- IT技術が企業の現在および将来の状態をどのようにサポートできるかを明確にする
- IT技術の評価、調達、導入
- テクノロジーリソース(ソフトウェア、ハードウェア、人員、支出)を最適化し、費用対効果を高める
部門や組織の垣根を超えて企業グループ全体をマクロの視点で見て、主導的に経営の改革を推進する役割が求められます。また、さまざまな技術が企業にどのような利益をもたらすか、あるいは現在のビジネスプロセスを改善するかを分析し、その利益や改善を実現するためにシステムを最適化していきます。IT戦略を経営方針に活用し、IT資産(ハードウェアやソフトウェアなど)を駆使して業務プロセスの効率化を推進するなど、マクロな視点から企業と情報を捉え未来を見据えた戦略を立てる、それがCIOの使命です。
CIOに必要なスキル
CIOに求められるスキルには、次のようなものがあります。
- IT技術やソフトウェアなど、IT関連の専門知識
- 高度なビジネスセンス
- 経営的な視点やIT関連の投資予算を管理するスキル
- 複数の部門やベンダーの責任者との交渉・調整スキル(対人折衝スキル)
- 企業の業務プロセスを分析、改善する手法
企業によって求められる役割は多少変化しますが、計画的な会議、会話、活動に加え、テクノロジーシステムと社内のIT運用の両方で、重大なインシデントを管理するためのスキルは必要になるでしょう。
まとめ
本記事では、情報セキュリティ組織とIT関連の責任者について解説しました。企業活動において、ITの利活用とセキュリティ対策を両立するためには、さまざまな組織や責任者の連携が必要不可欠です。そのためには、専門知識を有する人材を育成し、確保することが大切になります。もし自社内で確保できない場合はアウトソーシングを検討するのも一つの手段です。
セラクではこれまで多くの企業へ被害を最小限に抑えるための施策や組織作りを行ってきた実績があります。高度な専門性を持つセキュリティ技術者が、情報セキュリティ組織の構築や運用などを行い、お客様のIT資産を強固に守ります。
情報セキュリティ組織の必要性を経営層に伝えたい、組織の構築などについてセキュリティの専門家に相談したいなど、自社のセキュリティ課題を解決したいとお考えであれば、ぜひセラクへご相談ください。
