セキュリティを担う「専門チーム」はどうあるべき？ 役割と具体的な業務内容：セキュリティチームのつくり方【後編】

効果的なセキュリティ体制の構築において、各チームの役割を明確にし、リーダーがその連携を束ねることは不可欠だ。具体的にはどのようなチームがあるといいのか。セキュリティチームづくりの勘所を考える。

[Ed Moyle，TechTarget]

　セキュリティチームの成功には、企業の目標に合わせてセキュリティ施策を明確にし、それを実行するための取り組みが重要だ。セキュリティ施策の実行に当たって、1つの「正解」があるわけではない。さまざまな選択肢がある中で、自社に最適なものを模索することが求められる。本稿は、セキュリティ施策を実行するに当たっての組織づくりのポイントを解説する。

セキュリティ運用の鍵を握る「リーダーシップ」を発揮するには

併せて読みたいお薦め記事

連載：セキュリティチームのつくり方

• 前編：「できるCISO」が考慮すべきセキュリティチーム構築のポイントとは

セキュリティチームづくりのポイントとは

• 「ストレス増えた」「予算足りない」　セキュリティ担当者は割に合わない？
• 今どき「即戦力が欲しい」は無理な話？　どういうセキュリティ人材が適任なのか

　リーダーシップは、セキュリティ戦略を事業目標と連携させ、リスクを管理し、リソースを配分し、コンプライアンス（法令順守）要件を理解するために不可欠だ。リーダーシップには、運用チームの監督、進捗（しんちょく）確認、パフォーマンス分析、セキュリティの各関係者の間の調整などが含まれる。主にCISO（最高情報セキュリティ責任者）がセキュリティ施策を監督し、戦略を主導するだ。

運用チーム

　セキュリティの運用チームは主に以下の4チームで形成される。

SOCチーム

　脅威の監視や検出、「SIEM」（Security Information and Event Management）や「EDR」（Endpoint Detection and Response）といったセキュリティツールの運用管理などを監督する。SOCチームのメンバーには、CISO、SOCマネジャー、セキュリティアナリスト、セキュリティエンジニアが含まれる。

インシデントレスポンスチーム

　主にセキュリティイベントの調査や、インシデントの封じ込めと回復を担当する。インシデントレスポンス計画を策定し、定期的にテストすることも仕事だ。主要タスクは、フォレンジック（攻撃されたことを示す情報を収集し、法的証拠として残す手法）や攻撃に関する社内外の情報共有などだ。メンバーには、インシデントレスポンス担当、脅威ハンター（脅威検出担当者）、セキュリティアナリスト、フォレンジックス担当が含まれる。

脅威インテリジェンスチーム

　脅威に関する最新情報の収集や分析、攻撃者が用いるツールや手法の分析を担う。セキュリティの各関係者と調整し、脅威検出のルールや脅威の管理方法も決める。メンバーには、セキュリティアナリストや脅威ハンターが含まれる。

レッドチーム

　攻撃をシミュレートしてシステムの弱点を発見し、必要な保護策を提示する。メンバーには、ペネトレーション（侵入）テスト担当やホワイトハッカー（倫理的ハッカー）、セキュリティアナリストが含まれる。

技術専門チーム

　セキュリティ施策の実行に欠かせない技術分野には以下が含まれる。

ネットワークセキュリティ

　ネットワークインフラを管理する。メンバーには、ネットワークセキュリティエンジニア、ネットワークアーキテクト、ネットワークセキュリティアナリストなどが含まれる。

アプリケーションセキュリティ

　アプリケーション開発者チームと連携して以下のことを担当する。

• ソフトウェア開発ライフサイクルにセキュリティを統合する
• アプリケーションの脅威モデリングを実施する
• 安全なコーディング方法を確立する
• 「継続的インテグレーション／継続的デリバリー」（CI/CD）にセキュリティを統合する
• 製品やアプリケーションのセキュリティテストに参加する

　メンバーには、アプリケーションセキュリティエンジニアやアプリケーションセキュリティマネジャー、開発者、「DevSecOps」（アプリケーション開発と運用の各工程にセキュリティを組み込む手法）担当が含まれる。

クラウドセキュリティ

　クラウドサービスを利用するに当たってのセキュリティ確保を担当する。メンバーには、クラウドセキュリティアーキテクト、クラウドセキュリティエンジニア、クラウドセキュリティアナリストなどが含まれる。

IAM（IDおよびアクセス管理）

　アプリケーションやデータへのアクセスを制御する。認証の仕組みを設計して管理する他、場合によっては監督も担当する。メンバーには、IAM管理者、セキュリティエンジニア、セキュリティマネジャーなどが含まれる。

セキュリティアーキテクチャ

　セキュリティシステムを設計、実装する。メンバーには、セキュリティアーキテクトやセキュリティエンジニアが含まれる。

ガバナンス、リスク、コンプライアンス（GRC）チーム

　ガバナンスやコンプライアンスを含めたリスク管理チームは、セキュリティポリシーを監督し、規制の観点からセキュリティ施策を管理する。メンバーには、コンプライアンス担当、リスク管理担当、セキュリティ監査担当などが含まれる。リスク管理チームは、IT部門や法務部門と密接に連携することが重要だ。

セキュリティ意識向上、トレーニングチーム

　セキュリティ意識とトレーニングチームは、セキュリティの責任、セキュリティポリシーの詳細、ITツールの安全な使用法関する従業員教育を実施する。セキュリティトレーニングの実施やフィッシング攻撃のシミュレーションを通じて、企業全体のセキュリティ文化の育成、パフォーマンス追跡なども担当する。

　リスク管理チームとトレーニングチームは、人事部門やデータ保護チームと連携する。人事マネジャー、コンプライアンス担当と調整し、プライバシー要件を満たすことが求められる。

チームをうまく機能させる方法

　目標を特定し、チームの役割を定義した後は、それを実行に移し、いかにチームを機能させるかがポイントになる。

経営陣を巻き込み、セキュリティをビジネス目標に合わせる

　計画を実行するには、経営陣の賛同やサポートが重要だ。賛同を得るためには、セキュリティ計画の正当性が求められる。セキュリティの重要性を経営陣に伝えるとき、セキュリティの必要性を「事業にいかに貢献するか」という経営の文脈で説明することが大切だ。その際、規制や特定のフレームワークといった詳細の説明は避け、ビジネスの観点を前面に打ち出すことが有効になる。

人員配置と育成を戦略的に考える

　セキュリティチームの人員について検討する際、以下の点を確認する。

• 現在の人員がセキュリティ施策をすぐに実行できるか、再配置が必要なのか
• 新しい人員が必要かどうか
• チーム構成に応じて、複数の上司に報告することが必要か
• アプリケーションセキュリティ専門家といったスペシャリストを、独立したチームにするか、特定のチームに組み込むか
• 認定資格のトレーニングなどによって社内での人材育成が可能か
• どの業務を社内で実施し、どの業務を外部に委託するか

「未来のセキュリティチーム」とは

　一度セキュリティチームを編成すれば終わりではない。セキュリティ技術や攻撃の手口は常に進化しているので、セキュリティチームの在り方も定期的に見直す必要がある。その際、以下のことに取り組むことが重要だ。

• 事業目標の変化の確認
  • 企業が掲げる目標は時間とともに変わる。セキュリティチームが新しい事業目標に適応しているかどうかを確認する。
• 技術の変化を考慮したセキュリティ計画の見直し
  • 新しい技術の登場や既存技術の進歩はセキュリティチームに影響を与える。自動化、人工知能（AI）技術、量子コンピューティング（量子力学を用いて複雑なデータ処理を実施する技術）といったトレンドへの追随が不可 だ。
• 担当者の業務パフォーマンスの評価
  • パフォーマンス評価の指標を用いてセキュリティチームの効果を測定し、必要に応じて目標設定や業務内容を更新する。