組織の成熟度を上げる
セキュリティチームの運営
セキュリティを強化するためには、セキュリティの担当者や対応チームの成長が不可欠です。セキュリティ担当者やチームの状態の把握やスキルアップを行うための運営が求められます。
Point① 個人が求められるレベルを明確にし成長する
個人の能力のレベル定義をする際は、ITSS(ITスキル標準)などを活用すると便利です。個人の能力や実績に基づいた、7段階のレベルが設定されています。セキュリティ担当としてまずは、レベル4・5が存在するチームを目指していくとよいのではないでしょうか?
出典:IPA(独立行政法人情報処理推進機構)
「IT人材の育成」をもとに作成
https://www.ipa.go.jp/jinzai/itss/itss1.html
Point② 組織や役割に必要な能力を明確にし成長する
成熟度を上げるためには、個人の能力だけでなく組織としての役割や必要な能力を明確にする必要があります。担当の能力が必要な能力に達していない場合には教育なども検討します。
出典:経済産業省
「サイバーセキュリティ体制構築・人材確保の手引き」をもとに作成
https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf
Point①とPoint②を一緒に考え、セキュリティ組織・チームとしての役割とそれを実行する人の能力を考えたチーム体制を維持し、不足する場合には、チーム運営の中で補っていく必要があります。
Point③ 役割とタスクを定め、責任範囲を明確にする
セキュリティの業務において役割やタスクを定義し、責任範囲を明確にしていきます。また、タスクが整理されると、自社で実施すべきか、外部委託すべきかという検討も必要になります。それらが決まると、責任と体制が決まってきます。
タスクの例
- サイバーセキュリティ意識啓発
- 対策方針の指示
- セキュリティポリシー、予算、対策実施事項の承認
タスクの例
- サイバーセキュリティ教育
- サイバーセキュリティリスクアセスメント
- セキュリティポリシー・指針・指標の策定・管理・周知
- 警察・官公庁等対応
タスクの例
- セキュリティ製品、サービスの導入、運用
- セキュリティ監視・検知・対応
- インシデントレスポンス、連絡受付
出典:経済産業省
サイバーセキュリティ体制構築・人材確保の手引き
https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf
Point④ 会社に適したセキュリティ機能のチーム(体制)検討
セキュリティチームは会社の規模やセキュリティ業務のタスクにより変化をします。自社に適した体制はどのようなものかを検討し、適したチームを構築していきましょう。6ページも参考にし、体制を決めていきましょう。
社内人員のチーム体制
社内の人員を集めてチームを構築します。専任だけでなく、兼務の人材を集める場合もあります。
外部連携したチーム体制
社内の人員と専門分野では外部の力も借りたチームを構築します。
外部中心のチーム体制
社内では責任者のみを配置し、他は外部へ委託をしてチームを構築します。
セキュリティのチームの体制を整えるときは、外部と連携をしたチーム体制を作ることが多いです。しかし、判断を強いられる場合には社内の責任者が決断する必要性があります。体制と責任範囲を明確にしましょう。