ITU-Tに「歓迎された」日本案
ITU-Tへの参加資格を持つのは、世界193の加盟国の電気通信主管庁およびセクターメンバーらである。そのため武井は、ITU-TのセクターメンバーであるNTTの代表として、同じくISOG-Jに参加するNTTグループの仲間と一緒に、ITU-Tでサイバーディフェンスセンターについて議論している作業部会に参加した。
武井らが提案した案は、セキュリティ対応組織の教科書や、経済産業省の「サイバーセキュリティ経営ガイドライン」や産業横断サイバーセキュリティ検討会(CRIC CSF)の成果物を組み合わせたものだ。
「元々サイバーディフェンスセンターという提案があったのですが、それはセキュリティベンダーによるものでした。一方、我々の提案は中立的なセキュリティ業界団体で練られたベンダーニュートラルなもの。そうしたこともあって、他の参加者からは『いいね』と歓迎してもらえました」
ITU-Tでの標準化作業は、会合で出された様々な意見を、3~4名の「エディター」がドキュメントに反映しながら進んでいく。エディターが非常に重要なポジションなわけだが、武井らISOG-Jの2名にこのエディターの権限が与えられた。ここからも“日本発”の提案への高い評価がうかがわれる。
そして2021年6月、ITU-Tで新たな国際標準「X.1060:“Framework for the creation and operation of a cyber defence centre”」が承認された。武井をはじめ日本の関係者らが推進役となって策定された国際標準だ。
翌2022年には、国内の標準化団体であるTTC(情報通信技術委員会)においても、「JT-X1060:サイバーディフェンスセンターを構築・運用するためのフレームワーク」として日本語化されたものが標準化されている。
ITU-T SG17のクロージング全体会合の様子(2023年3月3日)。写真後方の中央左に見えるのが武井 ©ITU/D.Woldu
サイバーディフェンスセンターという名の組織の新設は必要ない
ITU-Tで国際標準として勧告されたサイバーディフェンスセンター(以下、CDC)は、セキュリティ対応組織についての新しい概念である。しかし、「現在のSOCやCSIRTを包含した概念であり、『CDCという名前の組織を新たに作ろう』という話ではありません」と武井は話す。
では、CDCとは何なのか。
「セキュリティでやらなければならないこと全体を示している」と武井は前置きしたうえで、次のように解説する。
「SOCは主に運用監視の組織、CSIRTは何か起きたときに対応する組織ですが、そこに戦略マネジメントというプロセスもプラスし、この3つを有機的に連携させることによって、『ビジネスを守っていきましょう』というのがCDCの概念です。SOCとCSIRTだけでは、もはやビジネスを守り切れません。そこで、より大きな枠で、必要なセキュリティ対応組織の姿をきちんと定義しています」
X.1060およびJT-X1060に合わせて全面改訂されたセキュリティ対応組織の教科書の第3.1版では、JT-X1060の図(図表1)を引用しながら、CDCの概念をこう説明している。「CDCはCISOの命を受けて、組織のセキュリティポリシーを守ることができるよう、組織として必要なCDCサービスを考え、セキュリティチームに実装していく役目を持つ存在である」
図表1 CDCの運営における関係者とその役割
出典:ISOG-J「セキュリティ対応組織の教科書 第3.1版」
(https://isog-j.org/output/2023/Textbook_soc-csirt_v3.1.pdf)
つまり、CDCは、組織全体のセキュリティを統括する存在であり、すでにこうした組織を有している企業も多いにちがいない。そのため武井は、CDCという名前の組織を新設する必要はないと言っているのだ。
武井によると、CDCは、経産省のサイバーセキュリティ経営ガイドラインで示されている「セキュリティ統括(室)」のセキュリティ統括機能に相当する(図表2)。「CDCは、このセキュリティ統括と一致するように定義されています。ですから、『CDCは理解しにくい』という方には、『サイバーセキュリティ経営ガイドラインのセキュリティ統括を実践すると考えてください』と紹介しています」
図表2 サイバーセキュリティ経営ガイドラインにおけるセキュリティ統括機能のイメージ
出典:経済産業省「サイバーセキュリティ経営ガイドライン Ver3.0
付録F サイバーセキュリティ体制構築・人材確保の手引き」
(https://www.meti.go.jp/policy/netsecurity/tebikigaiyou2.pdf)
CDCの具体的な機能と役割に関して、X.1060/JT-X1060では、「CDCの戦略マネジメント」「即時分析」「深掘分析」「インシデント対応」「診断と評価」「脅威情報の収集および分析と評価」「CDCプラットフォームの開発・保守」「内部不正対応支援」「外部組織との積極的連携」の9つのカテゴリーの合計64のサービスを定義している。
「ベストプラクティスとして、64のサービスを提示していますので、まずは自分たちの組織が64のサービスのうち、どれを現在実装しているかをチェックしてほしいです。そのうえで、実装していないサービスの中に、自社にとって重要なものはないかを検討してもらいたいです。すべてを一度に実装する必要はありません。『自社には何が必要か』をきちんと考え、実装していくことで、理想のセキュリティ対応組織に近づいていくはずです」
理想のセキュリティ対応組織の実現に向けた挑戦は終わらない
理想のセキュリティ対応組織の近づくための武井の取り組みも終わっていない。
1つが、ITU-TでのCDCのさらなる普及に向けた活動だ。
日本をはじめとする先進国では、国を統括するセキュリティ対応組織がすでに設置されている。しかし、アフリカ諸国などでは、国家的なセキュリティ対応組織が十分に整備されていないケースも少なくない。そうした国において今、CDCをベースにセキュリティ対応組織を整備する動きが活発化しているが、X.1060の文書だけでは「難しい」という声があるという。
そこで武井はITU-Tにおいて引き続きエディターとして、CDCの解説となるような付属文書の作成をリードしている。前述の通り、セキュリティ対応組織の教科書の最新版は、X.1060に対応している。その成果が、世界にこれから貢献していくことになる。
さらにITU-Tの場では日本がリードする形でセキュリティ対応組織の成熟度の考え方をどう整理するかの議論も始まっている。ここでも日本のコミュニティの活動が世界に届くように活動していきたい考えだ。
武井は「たまたま」という言葉をよく用いる。元々はセキュリティの専門家ではなく、最初から国際標準化の舞台を目指したわけでもない。
「セキュリティでやらなければならないことは、昔と比較すると無茶苦茶増えていますし、常に変化しています。ですから、セキュリティ専門家の決まったキャリアパスというのも多分ない。その場その場でベストを尽くしながら進んでいくしかないと思うのです」
理想のセキュリティ対応組織の在り方を求めて、武井の挑戦はこれからも続いていく。
NTTテクノクロスには武井のほか、ISO/IEC 27000シリーズの国際標準化に携わる土屋直子も在籍する(関連記事)。セキュリティに関する国際標準の最前線で活躍する専門家による支援も受けられるのがNTTテクノクロスのセキュリティサービスの特徴の1つだ
<お問い合わせ先>
NTTテクノクロス株式会社
URL:https://www.ntt-tx.co.jp/products/service/security.html