日本セキュリティオペレーション事業者協議会(ISOG-J)が2013年10月に改訂3.1版のセキュリティ対応組織の教科書(https://isog-j.org/output/2023/Textbook_soc-csirt_v3.1.pdf)というのがまとめられていた。
不勉強にも、この教科書は存じ上げなかったのだけど、以下の絵が面白かったので、ちょっと引用させていただいた。
ここの図でCDCと書いてあるのが、セキュリティ対応組織CDC(Cyber Defense Centre)という概念である。CISOからセキュリティ統制を推進する権限を付与されて、社内にセキュリティチームをおいたり、セキュリティポリシーに則ったビジネス目標を達成するためのCDCサービス(多分、セキュリティベンダーのセキュリティサービスと言うよりは、サービス対応組織として具備すべき業務等をサービスとして規定したもの(例えばセキュリティ基準としてどのように統制をかけるかとか、基準に則った統制がされているかどうかを監査(または監査部門の評価を踏まえた再評価)である。
セキュリティ対策を考える企業が独立企業なのであればセキュリティ統制をするかしないか決める組織が不明確なんてことはないと思うんだけど、企業の一部がSpin Outしてグループ会社になっている場合には、CDCという概念が実際の組織との紐づけが不十分だったり、それどころじゃないなんて場合も多いように思う。
IPAがまとめている中小企業のセキュリティ対策ガイドラインの管理規程サンプルを参照するとこのCDCという概念が、経営層+CDC≒情報セキュリティ委員会的に引用されているんだけど、情報セキュリティ委員会という組織は、多くの大企業には存在しているから、どうしても情報セキュリティ委員会という言葉を使ってしまうと、大仰な言葉に捉えられてしまうことも多い。
安易に英文字3文字はいけないのかもしれないけど、CDCという概念は使えるなぁと感じた。
このCDCの概念を使えると、大企業の中で一部組織が考えていたCDCを、グループ企業として独立した際に、そのCDCのサービスが現状通りなのか、新たに再定義されるものかで、独立時のCDCの定義がしやすいように思う。セキュリティ統制は、あくまでCDCに基づいて各社が何をやるかを決めることであり、誰か他の企業(親会社)とか、セキュリティベンダ、コンサルファームがやってくれるべきものではない。
ある1年だけを委託することは出来たとしても、3年間等、中期的に捉えると、CDCのサービス提供も、CDCのサービスに適応するための従業員等の負荷も相当な負荷になりうる。
相当な負荷がかかるものを、誰かがタダでやってくれると言われたら・・・気をつけたほうが良いかもしれないですね。
