2023年春、「セキュリティ対応組織の教科書 第3版」(ISOG-J)が公開された。5年ぶりの大幅改訂となるものだが、作業の中核を担ったメンバーのひとりが阿部慎司氏だ。本稿は、阿部氏が今春開催されたSecurity Days Spring 2023で行った講演をレポートする。
このタイミングで本稿を公開した理由のひとつが、春に行われたこの講演の秋版となる「国際標準を取り込んだ『セキュリティ対応組織の教科書』の最新動向とその活用事例」と題した阿部氏の講演が、来週開催されるSecurity Days Fall 2023で行われるからだ(開催は10月17日(火)17:20-18:00、会場は東京駅徒歩30秒の KITTE)。是非本記事に目を通してから会場に足を運んでいただきたい。
--
阿部氏といえば、日本セキュリティオペレーション事業者協議会(ISOG-J)の副代表、日本SOCアナリスト情報共有会(SOCYETI)主宰、IPA専門委員などの肩書も持ち、在籍するGMOサイバーセキュリティ byイエラエ株式会社のSOC事業の執行役員を務めるなど、セキュリティのオペレーション領域の国内の権威の一人である。
●日本発の文書から世界標準へ
「セキュリティ対応組織の教科書」は、阿部氏により初版が執筆され、2016年に公開された。その活動はISOG-Jのセキュリティオペレーション連携ワーキンググループ(武井滋紀リーダー)において、第3版が公開された後の現在も続いており、氏もライフワーク的に取り組んでいる事業のひとつである。
2017年の第2.0版、2018年の第2.1版の改訂から第3版まで約5年の時間が空いた理由はなんだったのか。それは「教科書」第2.1版が公開された2018年3月に、ITU-T(国際電気通信連合電気通信標準化部門)でX.framcdcに関する提起があった。X.framcdcとは、CDC(Cyber Defence Centre)、つまりセキュリティ対応組織の標準フレームワークである。
この提起にITU-Tでも活躍するISOG-Jの代表 武智洋氏やITU-Tでラポーターを務める永沼美保氏がいち早く気づき、阿部氏や武井氏らと共に「この提案の内容は『セキュリティ対応組織の教科書』と同じではないか?」と考え、ITU-Tに提案したところ、これが受け入れられ、阿部氏と武井氏もエディターとして名を連ねることとなった。日本からの提案も積極的に実施することにより、議論は日本案をベースとする場面が増え、最終的には、阿部氏がエディターの中核となりつつ、日本チームが一丸となって各国の有識者と議論しながら標準フレームワークの策定を推進した。
「教科書」とX.framcdcの基本的考え方は同じだが、グローバル基準としての調整や修正は必要になる。この間「教科書」の改訂作業は中断されることになるが、X.framcdcへの適合作業は、そのまま3.0版のアップグレードにもつながる。2021年にX.framcdcは「ITU-T X.1060」の名称でITUの国際勧告として成立した。阿部氏が中心となりすぐさま翻訳作業に入り、翌2022年にはJT-X1060として一般社団法人情報通信技術委員会(TTC)から公開されている。
● CDC(Cyber Defence Centre)とは? CSIRTと何が違うのか
ようやく国際標準の作業が一区切りついた。この成果を反映すべく改訂版が公開されたのが「セキュリティ対応組織の教科書 第3版」である。2.1版と3.0版のおもな変更点について阿部氏は、講演で次のように述べている。
「セキュリティ対応組織がどういった存在なのか、X.1060のCDCの考え方を取り入れて定義や役割を整理した。とくに概念部分の強化、そして組織が実施するセキュリティ対応の実行サイクルの整理を行った。ここでいうCDCは、国内で一般的なCSIRTやSOCの活動を包含する概念としている。しかしながら、CSIRTやSOCの具体的な業務やその線引きは、組織や企業、業界ごとに異なる。そういった部分も包括的に捉えるための共通の言語としてCDCという用語が必要だった。また、近年のセキュリティは、組織内を個別に守ればいいというわけにはいかない。サプライチェーン全体での取り組み、業界内外の横連携の重要度も上がっている。」
初版の「教科書」を書き進めていた2016年当時は、阿部氏は現場でセキュリティオペレーションを実践していた。そのため、内容はどちらかというと現場作業や課題から考えられており、ボトムアップ型の観点で作られていた。だが、阿部氏のITU-T他での活動や組織、企業の中でのポジションも変わっていく。
「X.1060では、全体を俯瞰した管理する視点、経営者側の視点というトップダウン的な要素も組み込まれた。(阿部氏)」という。全体を俯瞰した管理とは、サプライチェーン攻撃への対応において重要だが、企業や組織の海外拠点展開、M&A、事業再編によるガバナンスや事業ドメインの変化、カバレッジの変化など、いまやどの企業でも共通の課題に対応するアプローチである。
●セキュリティ対応組織 第3版は情報のCPAを説く
トップダウンの要素が入ったからといって、「教科書」やX.1060が、原理原則優先のセキュリティ統治を意味するわけではない。「情報のCIA」の重要性を説きつつも、機密性や完全性にこだわるあまり規則ありきで縛るのはかえって危険という阿部氏の信念が貫かれている。
阿部氏は、Dockerの創設者Solomon Hyks氏の有名なツイート「Unusable security is not security」を引用し、組織や全体を管理するという観点だけでなく、CPA、つまり「Creativity」「Productivity」「Agility」という別の軸での評価、考え方の重要性を説いている。CPAとは阿部氏の造語だが、可用性をないがしろにしない近年のセキュリティポリシーが生きている。(編集部註:C、P、Aはそれぞれ「創造性」「生産性」「敏捷性」)
CDCのようなセキュリティ対応組織を作るうえで考えるべきポイントは「何を、誰が、どの程度」の3つである。教科書第3版、X.1060では、組織形態は「集権型」「連邦型」「専門部署」「委員会型(プロジェクト型)」は問わない形になっている。
「何を」の部分はCDCのサービス内容、業務内容として64項目を定義した。その上位の「カテゴリ」は、用語が整理されたものの分類は大きく変えていない。しかし、さまざまな組織形態、規模に対応するため、業務内容は細かく分類した。
●「成熟度」指標の危険性と今後の展開
「誰が」については、業務の特殊性、専門性、機密性などから担当を考えるようになっている。インソース、アウトソースという基準も導入される。ただし、X.1060ではどの業務がインソースに向むいているか、あるいはアウトソースに向いているかを規定していない。「教科書第3版」では、その具体的な分類を試み、整理がなされている。
64項目はすべて対応する必要はなく、「推奨レベル」という考え方で、組織において不要なもの、基本的な対応からオプション的な対応まで、「不要」「ベーシック」「スタンダード」「アドバンスド」「オプション」の5段階に分けた。
CDCを構築しただけで終わりではない。運用していく上で機能の評価も必要だ。評価プロセスではよくある「成熟度」という用語をとりやめた。ITU-Tでは、成熟度は組織の絶対指標と考えられる危険があるという議論がされたからだ。CDCの成熟度が何かのランク付けや基準に利用されるのは本意ではないため、「スコア」という考え方で組織ごとの指標としてや判断に使えるよう、セルフアセスメントの方向性での記述となっている。
X.1060および「教科書」の作業は終わったわけではない。改訂作業はどちらも続いている。阿部氏は、64のサービス項目の精査、組織ごとにどれを優先させるといいのか、インソース、アウトソースの判断基準など運用上に役立つ情報や考え方など、「まだ、積み残しはまだある」という。阿部氏の活動に終わりはない。
「セキュリティ対応組織の教科書」もISOG-Jで国内の多数のセキュリティオペレーション有識者による議論が進められ、次版の公開が間もなくだという。今後も要注目である。
