{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サービスのセキュリティを推進する組織の必要性
近年、DXの進展に伴って、企業が顧客向けに提供するデジタルサービス(以下、サービスと記載)の開発ペースが加速し、AIなどの最新技術の適用や法規制・業界規制への対応の必要性も増しています。また、サービスの停止や情報漏えいが発生すると、企業の信頼を損ない、サービス利用者数の減少やサービスの継続困難につながるおそれもあります。
これらのリスクに対して、CSIRT(Computer Security Incident Response Team)のような全社の情報セキュリティを守る組織やチームが対応していますが、サービスの開発スピードや、利用される最新技術・開発手法、利便性とセキュリティリスクのバランス確保、サービスの開発・運用における現場へのセキュリティ意識浸透、といった課題に対応しきれていないケースも見受けられます。
本稿では、安全なサービスを開発・運用し、セキュリティを推進するためにはどのような組織を構築する必要があるのか、求められる機能や特徴を解説します。
サービスのセキュリティを推進する組織とは
全社の情報セキュリティとサービスのセキュリティでは、セキュリティ組織に求められる要件が異なります。サービスを開発・運用する役割は、多くの場合、社内におけるビジネス部門が担っています。サービスのセキュリティを推進する組織ではビジネスにおいて求められるサービス(あるいはシステム)の開発スピード、最新技術や開発手法の活用、サービスに適用される固有の法規制・業界規制への対応が必要となります。また、セキュリティリスクを低減することはもちろん、サービスの開発・運用を阻害しないよう、サービスの利便性とセキュリティのバランスを取ってリスクを許容可能な範囲にコントロールすることが求められます。
上記のようなサービス特有の要件に対応するために、CSIRTのような全社の情報セキュリティを推進する組織やチームとは別に、サービスのセキュリティ推進専用の組織やチームを設ける場合があります。このような組織は、経済産業省が公開しているサイバーセキュリティ経営ガイドラインの付属文書である「サイバーセキュリティ体制構築・人材確保の手引き」において「SSIRT(Service Security Incident Response Team)」や「DSIRT(Digital Service Security Incident Response Team)」の名称で紹介されています。
全社の情報セキュリティを推進する組織(例:CSIRT)と、サービスのセキュリティを推進する組織(例:SSIRT、DSIRT)の違いは図表1のとおりです。
図表1:セキュリティ推進組織の違い
比較項目 |
全社の情報セキュリティを推進する組織(例:CSIRT) |
サービスのセキュリティを推進する組織(例:SSIRT、DSIRT) |
責任者 |
CISOなど |
ビジネス部門長、サービス責任者など |
守るもの |
主に社内インフラ |
顧客向けサービス |
組織の目的 |
セキュリティリスクを可能な限り低減する |
サービスとセキュリティのバランスを取ってリスクをコントロールする |
組織の形態 |
情報システム部門内、あるいはバーチャル組織 |
ビジネス部門内、あるいはビジネス部門とその他部門で構成されるバーチャル組織 |
構成要員 |
セキュリティ部門 |
サービス開発・運用部門 |
サービスのセキュリティを推進する組織はどうあるべきか
本節では、サービスのセキュリティを推進する組織はどうあるべきかを解説します。
サービスは常に進化し、取り扱う情報量も増加しています。サービスのセキュリティを維持・向上させるためには、全社の情報セキュリティを推進する組織とは別に、サービスのセキュリティを推進する組織が必要です。この組織は以下の5つの観点に対応する必要があります。
- サービスの企画・構想段階から、設計、実装、テスト、運用、サービス終了までセキュリティリスクを把握し、各フェーズで必要な対策を講じること
- サービス開発や機能追加などのスピードを維持すること
- サービス停止時の影響など、個々のサービスや機能を理解して対策を実施すること
- サービスを開発・運用する組織にセキュリティ意識の浸透・定着を図ること
- 最新の技術に関連する外部団体や、企業を所管する官庁、所属する業界団体などの社外組織との連携を実施すること
上記を実現する体制では、サービスを開発・運用する組織、もしくはサービス開発・運用の現場に近い組織が主体となり、必要に応じてセキュリティの専門部署等と連携しながらセキュリティ対策を実施することが望まれます。そうすることで、リスクとセキュリティのバランスを取りつつ安全なサービスを開発・運用することが可能となります。
安全なデジタルサービスを開発・運用するためのセキュリティ組織の機能
安全なサービスを開発・運用する組織に求められる機能はどういったものでしょうか。
図表2に示すように、全社の情報セキュリティを推進する組織の機能と類似する機能が多いものの、よりサービスに特化した対応を実施することが必要となります。これらの機能には、サービスのセキュリティを推進する組織単体で対応するものだけでなく、全社の情報セキュリティを推進する組織やサービスの開発・運用部門と連携して対応するものも含まれます。
図表2:サービスのセキュリティを推進する組織に求められる機能
(★印は、サービスのセキュリティを推進する組織において特徴的な機能)
機能 |
機能の概要 |
セキュリティ戦略策定 |
戦略検討、実行、評価 |
外部対応★ |
警察、官公庁、セキュリティベンダー、規制機関 |
技術動向調査★ |
サービスやセキュリティにかかわる技術動向の把握、技術の利用ルールや必要なセキュリティ対策の検討 |
コンプライアンス対応★ |
セキュリティやプライバシーに関わる法規制の動向把握、ガイドライン作成 |
サービスのセキュリティ要件策定★ |
サービスに求めるセキュリティ要件の策定・助言 (必要に応じてサービス開発プロジェクトに参画) |
セキュリティ相談対応 |
サービスの開発/運用時におけるセキュリティの助言 |
構成管理、脆弱性管理 |
サービスに関するシステム情報・脆弱性情報の把握、対応指示 |
セキュリティリスク評価 |
サービスに関するリスクの評価・分析・管理 |
啓発、教育、訓練 |
セキュリティ管理者や担当者向け教育・訓練の実施 |
セキュリティツールの導入・運用 |
セキュリティ対策の仕組み導入、運用 |
セキュリティ監視 |
セキュリティ監視の導入と運用 |
インシデント対応 |
検知・原因分析・顧客対応・復旧、再発防止検討 |
以下では、サービスのセキュリティを推進する組織に求められる機能のうち、4つの特徴的な機能について解説します。
- 外部対応
外部対応では、インシデント対応時の報告や外部団体との連携を実施します。インシデント対応では、インシデント内容に応じて所管官庁や個人情報保護委員会、法執行機関などに届け出や報告を実施します。外部団体との連携では、提供サービスに関連する業界団体や技術系の外部団体と連携し、情報の収集やガイドライン策定などを実施します。 - 技術動向調査
提供サービスに関連する技術に対して、技術動向の把握やセキュリティリスクの確認を実施します。これは例えば、クラウドサービスへの新機能追加や、AIの最新動向、新たな開発ツールなどが対象になります。把握・確認した情報はサービスの開発・運用担当者とも連携し、開発・運用するサービスに求めるセキュリティ対策や技術の利用ルールを検討します。 - コンプライアンス対応
サービスを提供する国や業界におけるセキュリティ関連の法規制やガイドラインの動向を調査し、サービスの開発・運用への影響を確認します。確認した結果は開発・運用担当者と連携し、サービスに影響がある場合は対応方針を検討します。 - サービスのセキュリティ要件策定
顧客向けのサービスでは、取り扱う情報やシステム構成をはじめとするサービスの特性に合わせたセキュリティ対策が必要です。そこで、サービスの企画・構想段階からセキュリティ要件の策定に携わり、サービス開発担当者からのセキュリティ相談を受けてサービスに実装するセキュリティ対策について検討します。必要に応じサービス開発プロジェクトに参画し、セキュリティ要件やリスクの確認、セキュリティ対策の実施に関わる助言・支援を実施します。
サービスのセキュリティを推進する組織を構築する際のポイント
サービスのセキュリティを推進するために、既存のセキュリティ組織の支援スコープを拡大する場合もあれば、専用のセキュリティ組織を新たに構築する場合もあります。本節では、サービスのセキュリティを推進する組織を構築する際に重要となるポイントについて解説します。
組織を構築する際には、まず、組織のミッション(どのサービスをどういったリスクから守るか)を明確にします。その上で、社内の関係部署が対応する範囲も含めて、サービス全体がどうあるべきかを検討し、セキュリティ組織が担う役割を定義します。役割を定義した後、具体的にどのような業務やプロセスが必要となるかを検討します。業務やプロセスを明確にすることで、セキュリティ組織に必要なスキルや要員数を検討することが可能となります。また、セキュリティ組織の成果や貢献を可視化できるよう、KGI/KPIなどの目標設定を実施することもポイントとなります。
組織の立ち上げにあたっては、サービスの特性や仕様を理解する開発・運用部門のメンバーの参加がポイントとなります。サービスを開発・運用する部門との連携が取りやすくなり、新しいサービスに関する情報の収集タイミングも早くなります。サービスの開発・運用、情報セキュリティ、IT、法務、広報などの担当者を含め、まずはバーチャル組織として立ち上げることが一般的です。
サービスのセキュリティを推進する組織や活動を社内に根付かせるためには、サービスの開発・運用担当者(現場)とセキュリティ組織が対立することなく協力関係を築くことが重要です。セキュリティ組織がサービスの開発・運用を妨げるゲートとなるのではなく、安全なサービスの開発や運用を支えるために現場を支援する取り組みを行うことや、現場と密接にコミュニケーションを図ってセキュリティ意識を浸透させることが求められます。
現場を支援する取り組みの際は、一般的なセキュリティリスクではなく対象サービスで起こり得るケースや事例に基づいたリスクを評価し、各サービスの状況に即した実現可能な対応策を提示することが重要です。また、セキュリティリスクを低減するためにサービスのリリースを遅らせることがないよう、サービスの開発・運用担当者が認識できていないセキュリティリスクをセキュリティ組織が先んじて整理することもポイントに挙げられます。セキュリティに関する相談を受けた際に、社内関係者が多岐にわたる中で初動から解決まで一元的に対応することも、現場を支援するセキュリティ活動につながります。
まとめ
DXの進展に伴ってサービスのリリースサイクルが早くなり開発スピードが加速する中、顧客向けサービスの停止や情報漏えいは大きなリスクにつながります。こうした背景を受け、サービスの開発スピードや、利用される最新技術・開発手法などに対応するために、サービスのセキュリティを推進する組織を構築するケースも生じています。
サービスのセキュリティを守るためには、サービスの企画・構想、設計、実装、テスト、運用、サービス終了までのライフサイクル全体でセキュリティの考え方を組み込む必要があります。そのため、サービスの特性や利用する技術などを理解するサービス開発・運用の現場が主体となって、セキュリティ対策を実施します。また、サービスは常に進化していることから、最新の技術や開発手法の適用、法規制や業界規制への対応も忘れてはいけません。
安全なデジタルサービスを開発・運用するためのセキュリティ組織を構築する際は、既存のセキュリティ組織の支援スコープを拡大して対応するか、新たなセキュリティ組織を構築するかを検討した上で、現場の開発・運用担当者と協力体制を築き、サービスの開発・運用を推進するセキュリティ活動を進めることがポイントとなります。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
