ユーザ企業のためのセキュリティ組織構築モデルを可視化　『セキュリティ統括室構築・運用キット』 Part1「概要編」に続きPart2「統括室編」を公開

産業横断サイバーセキュリティ人材育成検討会(CRIC CSF)

2019.10.30 10:30

一般社団法人サイバーリスク情報センター産業横断サイバーセキュリティ人材育成検討会

産業横断サイバーセキュリティ人材育成検討会(以下「CRIC CSF」)は、ユーザ企業におけるセキュリティ組織体制をモデル化した『ユーザ企業のためのセキュリティ統括室構築・運用キット』(以下「統括室キット」)の概要編(注1)に続き、統括室等の構築プロセスに関する資料としてPart2：統括室編を2019年10月30日に公開しました。

『ユーザ企業のためのセキュリティ統括室構築・運用キットPart2：統括室編』

https://cyber-risk.or.jp/contents/

■セキュリティ機能実現のための構築ステップを可視化

『ユーザ企業のためのセキュリティ統括室構築・運用キットPart2：統括室編』(以下「統括室キットPart2」)は、ユーザ企業におけるセキュリティ組織体制のあり方を、委員会型、CSIRT型、専任組織型に3分類し、各企業の組織体制に応じたセキュリティ機能を実現するための構築ステップを可視化するために作成されています。

「統括室キットPart2」は、2016年にCRIC CSFより発表した「産業横断人材定義リファレンス」(注2)の一役割であった「セキュリティ統括(室等)」の活動内容をより詳細に記述し、かつ内閣サイバーセキュリティセンター(NISC)が発表した「戦略マネジメント層」(注3)が担う業務との整合性を検証し、全体像を整理しています(図1)。

ユーザ企業におけるIT利用の拡大やデジタルトランスフォーメーションへの対応において求められるセキュリティ組織の配置および活動の改善に活用頂くことを想定しています。

図1）セキュリティ統括室の機能図

セキュリティ統括室等の機能図

■今後の展開について

また、統括室等の考え方は、経済産業省産業サイバーセキュリティ研究会ワーキンググループ2の発表資料(注4)においても「セキュリティ統括機能」として紹介され、今後は、経済産業省から発表されている「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」(注5)の概要と「統括室キットPart2」において定義したセキュリティ機能の関係性を整理し、サプライチェーン全体でのサイバーセキュリティのあり方を検証していく予定です。

尚、「産業横断人材定義リファレンス」は、米国NISTのCyber Security Frameworkをそのコンセプトの1つとして採用しており、2018年11月には米国ボルチモアで開催された「NIST Cybersecurity Risk Management Conference」において成果発表(注6)しております。

注1）ユーザ企業のためのセキュリティ統括室構築・運用キット(統括室キット)：概要編

https://cyber-risk.or.jp/contents/

注2）産業横断サイバーセキュリティ人材育成検討会第一期最終報告書

「産業横断人材定義リファレンス等_セットA1～C」

https://cyber-risk.or.jp/sansanren/index.html

注3）サイバーセキュリティ人材の育成に関する施策間連携ワーキンググループ報告書～「戦略マネジメント層」の育成・定着に向けて～

https://www.nisc.go.jp/conference/cs/pdf/jinzai-sesaku2018set.pdf

注4）第4回産業サイバーセキュリティ研究会ワーキンググループ2(経営・人材・国際) 「資料3 事務局説明資料」

https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_keiei/004.html

注5）サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました

https://www.meti.go.jp/press/2019/04/20190418002/20190418002.html

注6） NIST Cybersecurity Risk Management Conference