先日とりあげた「セキュリティ対応組織（SOC/CSIRT）の教科書」で、もう１つ興味深い図があるので、参照させていただいた。

　前回はCDCという考え方は、ヒトでもなく（セキュリティ委員会といった）会議体でもなく、ちょうどいい概念だなぁというのが気づきでした。以下の図では、CDCの領域を防御と内部ガバナンス、セキュリティ専門スキルの高低で４象限に分けてくれてる。

　これでみると、右上にあるⅠ象限は、組織内部で且つ、セキュリティ専門スキルの必要性が低くてもいい領域。

　そうなんですよ。そうなんですよ。組織のセキュリティ対策の必要性を説明するときに、概ねこのⅠ象限しか言及しないのに、「うちはセキュリティ人材がいないから、こういうことは出来ないんですよ」と返してくる。これは、「セキュリティ対策をやってください」と話したときに、話を聞いているヒトはⅢ・Ⅳ象限の話をされていると思っちゃって、「ウチでは出来ませんよ」ってなっているように思う。

 

　Ⅰ象限をきちんと進めてくれれば、Ⅲ・Ⅳ象限は必要なときに外部委託前提で対策を立ててくれれば、それはそれで十分で、バックアップ・リストアのBCPと、権限管理をどの象限で対応するかを決めれば良さそうだな。どちらもⅠ象限だと思うけどな。

 

　細かなブレークダウンまでは読んでないけど、Ⅰ象限は平易な文章でないと読んでくれないな。Ⅲ・Ⅳ象限は専門的な書き方にしたいところだけど、外注するならキャッシュアウトのための意思決定をしてもらえないと進まないので、この点は平易な文章とそうでない部分のマッシュアップだな。

 

　最近は大きい企業でも、グループ会社の中にホールディング会社（HD)を置いて、分散統治も必要になってきている。　組織セキュリティにおけるHDの役割の定義も大事で、どこかで頭の整理をしたいと思っている。

　通常は、HDのの下に、異なった事業を行っている事業会社がいて、その事業に精通しているのは事業会社であって、一般的にはHDではない。（なので、HDが、事業会社より上位のセキュリティ統制を具備すべきというのは、実際には無理筋だと思う）

　セキュリティリスクのアセスメントは、上記の表だとⅠ象限のA-2にあるけど、情報漏洩なのか、外部攻撃なのかでアセスメントは変わる。この辺をセキュリティリスクの種類を理解しないといけないと構えられると、セキュリティ対策を進める人のハードルが急に高まるから、この辺はなにか書き下してサービスとして書き出せると、理解が進みそう。