「できるCISO」が考慮すべきセキュリティチーム構築のポイントとは：セキュリティチームのつくり方【前編】

企業をサイバー攻撃から守るには、セキュリティチームが不可欠だ。しかし自社に合ったセキュリティチームを編成するのは簡単ではない。組織面からサイバー攻撃に対抗するための要点を紹介する。

[Ed Moyle，TechTarget]

　セキュリティチームは企業のシステムを保護する上で中核的な役割を果たす。攻撃の手口やセキュリティ技術が常に進化する中で、定期的にセキュリティチームの在り方を見直し、自社のニーズに合致させることは重要だ。セキュリティ対策が成果を挙げ、セキュリティリーダーが掲げる目標を達成するための鍵は、チームの構造にある。自社の状況に最適なセキュリティチームづくりのためのポイントをまとめた。

なぜ「セキュリティチームの構造」が重要なのか

併せて読みたいお薦め記事

セキュリティチームづくりのポイントとは

• 「ストレス増えた」「予算足りない」　セキュリティ担当者は割に合わない？
• 今どき「即戦力が欲しい」は無理な話？　どういうセキュリティ人材が適任なのか

　セキュリティチームは攻撃を防いだり、攻撃を受けた際の被害を最小限に抑えたりするために、以下をはじめとするさまざまなタスクを実施する。

• 脅威の分析
• 脆弱（ぜいじゃく）性の特定によるリスク管理
• セキュリティ製品の導入や運用
• 攻撃後のシステム復旧作業
• セキュリティポリシーの作成
• 従業員のセキュリティ意識向上を促すトレーニングや情報共有

　これらのタスクを的確に処理するために、最高情報セキュリティ責任者（CISO）をはじめとしたセキュリティチームのリーダーは、現状のチーム構成を評価し、それが適切かどうかを見極める必要がある。具体的には、各メンバーの役割と責任、それを踏まえた最適な配置、上司と部下のコミュニケーション方法を検討しなければならない。どのようなセキュリティチームが最適かは企業によって異なる。ある企業で成功したチーム構成が、他の企業でも通用するとは限らない。

　優れたセキュリティチームの構造は、企業全体に以下の好影響をもたらす。

• 業務効率の向上
• 迅速な意思決定
• リスク管理能力の強化
• インシデント対処の実効性の向上
• コンプライアンス（法令順守）とガバナンスの徹底

優れたセキュリティチームをつくる方法

　セキュリティチームを設計する際、CISOはまずセキュリティ施策の主要な目標を特定し、優先順位を付ける。その上で、それらの目標達成に貢献できるチーム構造を考慮する。次のステップとしては、セキュリティ施策を以下の観点で分類し、各施策の性質を明確にすることが大切だ。

• 重要性
  • 継続的な監視が必要なほど重要かどうか
• 複雑性
  • 専任チームに移管しなければならないほど複雑かどうか
• 持続性
  • 継続的な長期プロジェクト）か、期限付きのもの（プロジェクト）か

　分類に際して、CISOは企業の目標を分析し、それぞれに関連するセキュリティ要件を考慮して、必要な施策を特定する必要がある。セキュリティの目標と企業の目標を連携させるためには、「COBIT 5 Goals Cascade」「ITIL Service Strategy」「ITIL Service Design」といったITガバナンスに関するフレームワークを利用することが有効だ。

　セキュリティ施策が必須かどうかを判断するに当たって、CISOが考慮すべきことは以下の通りだ。

• 国や地域の規制
• 既存の社内セキュリティポリシー
• 顧客との契約内容
• ステークホルダーからの要求
• 準拠すべきセキュリティフレームワーク（「ISO/IEC 27001」「NIST SP 800-53」など）

　CISOは上記に関連する重要なタスクをリストアップし、優先順位を付け、担当者を割り当てる。他に考えるべき要素には、チームの成熟度、施策の複雑さ、脅威の種類、想定される組織再編、個々のメンバーの事情などがある。

---

　後編は、セキュリティ施策を実行するに当たってのチームづくりのポイントを解説する。