シンジです。セキュリティにおける「組織対応力ベンチマークチェックシート」が、一般社団法人オープンガバメント・コンソーシアム(OGC)から、無償で公開されました。これはすごい。でも難しいかも!?なので、このブログで要約してみます。詳細は以下URLからどうぞ。
「組織対応力ベンチマーク」発表に関して http://ogc.or.jp/archives/1525
目的は何か、まずはC-SIRTを理解しよう
聞き慣れない方もいらっしゃると思いますが、C-SIRT(シー・サート)という組織を立ち上げる会社が増えてきています。これは何かというと、「サイバーセキュリティ対応チーム」の略で、セキュリティ上の問題が起きていないかどうかを監視し、問題があった場合は原因解析・影響範囲の調査などを行ったりする専門組織の総称です。 専門の部署として立ち上げる会社さんもいらっしゃれば、仮想組織として普段の業務を兼務しながらチームに参加するといった方法を取られているケースもあります。cloudpackは後者となります。
なぜこの発表をしたのか
C-SIRTを立ち上げたいと思っている、もしくは立ち上げてはみたものの、
- 具体的に何をしたらよいか分からない
- 立ち上げたが、有効に機能しているかどうか分からない
ということだそうです。 トレンドマイクロ社のレポートによれば、国内でC-SIRTを設置している企業は5.6%で、今後設立予定の企業は16.6%と、かなり低い水準であることが分かりました。
そこで今回「組織対応力ベンチマークシート」を公開することで、サイバー攻撃への対応能力を「視覚的に」把握することを可能としたそうです。
ベンチマークの使い方
チェックシートは「Excel版」と「PDF版」がありますが、基本的にはExcel版を使うのが良いと思います。そして、
- 組織対応力ベンチマークシート
- 組織対応力ベンチマークシート詳細版
の2種類に分かれています。更に、
- 組織対応力ベンチマーク解説書初版(PDF版)
が用意されています。 まずは全部ダウンロードしちゃいましょう。さらっと見てみてください。解説書がかなりの力作であることが分かりますよ!
ベンチーマークを行う前に
解説書を読みましょう。どのようにベンチマークすべきか書かれています。また興味深いのが、この解説書を読むであろうと想定される読者を以下のようにしています。
- 最高情報責任者(CIO)、マネジメント層
- セキュリティインシデントに備えて対応する責任を持つ者
- CSIRT(コンピュータセキュリティインシデント対応チーム)
- システム管理者とネットワーク管理者
- セキュリティスタッフ
- 技術サポートスタッフ
もはやエンジニアは全員読めと!ww しかし大変読みやすい内容となっており、綺麗な図なども盛り込まれていて、丁寧な作りであることを感じます。
2種類のベンチマークシートの違い
その名の通りですが、
- 通常版は「6分野、計25問」の設問です。
- 詳細版は「6分野、計122問」の設問です。
圧倒的に詳細版の方が効力がありそうですね。 これからC-SIRTを検討されている会社さんは、まずは通常版を。既にC-SIRTを設置されている会社さんは、是非詳細版にチャレンジしてみて下さい。
評価方法
回答欄に、番号を入力していく方式です。質問に対して、
- 1 全くできていない。(設問事項がまったく満たされていない。)
- 2 内容に漏れがある。(設問事項が部分的に満たされている。)
- 3 概ねできている。(設問事項の全項目が満たされている。)
- 4 内容も十分なレベルである。(設問事項の全項目が満たされており、内容も十分なレベルに達している。)
- 5 定期的に見直しをしている。(設問事項の全項目が十分なレベルで満たされており、定期的な確認及び見直しをしている。)
特に5は、「定期的な見直し」を求めていますので、「定期的」の定義がなされている資料があるべきです。例えばこれは3ヶ月ごとです、とか、これは1年ごととかですね。これをPDCAサイクルを回すとも言いますね。
この評価は外部監査で有効かどうか
十分に有効だと考えられますが、あくまで自己評価ですので、入力した値にたいしての「裏付け」は必要となるでしょう。 どうしてこの項目は4なのですか?と聞かれますから、これこれこういう資料がありますので、4となります、と答えられる必要があるでしょう。
こんなにも素晴らしいツールが無料だなんて
全70ページの解説書に2種類のベンチマークシート。執筆者8名の皆様には頭が上がりません。これは是非活用すべきです!
(シンジも頑張ってチェックしなきゃだー!)