理想的なCISOチームを構築する方法

企業の情報化におけるネットワークセキュリティの割合の増加に伴い、企業のセキュリティ作業に従事する人々の役割も、企業のIT運用および保守担当者の開始から、フルタイムのITまで徐々に変化しています。セキュリティ運用および保守担当者の大きな変化の1つは、CISO（Corporate Chief Information Security Officer）の役割の出現であり、この役割は徐々にCIO構造から独立し、CEOに直接報告し、企業の意思決定作業に参加しています。完全なCISO構造は、企業の近代化の重要なシンボルになります。カーネギーメロン大学の調査報告書から学び、理想的な企業CISOチームの構築を目指しています。

CISOの4つの主要な機能の方向性：

1. 保護、シールド、防御および防止（保護、シールド、防御および防止）
   により、企業の従業員、ポリシー、手順、慣行、およびテクノロジーを積極的に保護およびブロックして、企業がサイバー脅威から保護され、サイバーセキュリティインシデントの発生または再発を防止できます。起こる;

2. Monitor、Detect＆Hunt（Monitor、Detect＆Hunt）
   は、企業の従業員、ポリシー、プロセス、プラクティス、テクノロジーの関連する監視操作を保証し、セキュリティの脆弱性とリスクを積極的に探して発見し、疑わしいインシデントや不正なインシデントをできるだけ早く報告します。

3. 
   サイバーセキュリティインシデントが発生した場合に対応、回復、維持（応答、回復、維持）し、その影響の範囲と範囲を最小限に抑え、会社の従業員、ポリシー、プロセス、慣行、テクノロジーの通常のワークフローを迅速に復元して、資産をできるだけ早く回復できるようにします。通常の運用では、ここでの資産には、技術、情報、人員、施設、サプライチェーンなどが含まれます。ドライバー、関連業界、および管理部門は、電子ライセンスサービスを提供します。

4. ガバナンス、管理、コンプライアンス、教育、およびリスク管理（Govern、Manage、Comply、Education＆Manage Risk）
   により、企業のリーダーシップ、従業員、ポリシー、プロセス、プラクティス、およびテクノロジープロセスが、すべてのサイバーセキュリティ活動の継続的なプロセスに参加できるようになります。監督、管理、パフォーマンスの評価と修正を行い、安全活動がすべての外部および内部の要件を満たしていることを確認し、会社の対応するリスクを軽減します。

CISOの組織構造

企業におけるCISOの責任に応じて、5つの主要な部門を含む次のCISOの組織構造が定義されています。各部門およびサブ部門の機能と活動について以下に詳しく説明します。

プロジェクト管理部門（PM、プログラム管理）

CISO組織のプロジェクト管理部門には、図に示す3つのサブ部門が含まれています。

プロジェクト管理オフィス（PMO、プログラム管理オフィス）：情報セキュリティプロジェクトとプロジェクトに基づく計画を策定し、正常に実装するためのすべての関連作業を完了します。これらのタスクには、次のものが含まれます。

• 情報セキュリティプロジェクト、計画、およびプロセスを開発、実装、および維持する
• 情報セキュリティに関係する役割と責任を定義する
• 策定された情報セキュリティプロジェクトおよび計画を実施および完了するために、適切で資格のある人材を割り当てます
• 情報セキュリティプロジェクトおよび計画の実装に必要な機器リソースを決定、管理、および維持する
• 報告関係を含め、プロジェクトに関与するすべての内部および外部の関係者と通信します
• すべての情報セキュリティ活動に必要な資金を割り当てて管理する
• 情報セキュリティ計画のコスト消費、実装の進捗状況、および完了品質を測定および監視します
• プロジェクトに関与する内部および外部の関係者を特定し、プロジェクトの実施への参加を調整します
• 情報セキュリティ計画の実施状況を企業のトップマネジメントに報告する
• 情報セキュリティに影響を与えるビジネス機能（SAAS、クラウド、モバイルデバイスなど）を特定、確認、評価、および適切に使用する

ガバナンス、リスク、およびコンプライアンス部門（GRC、ガバナンス、リスク、およびコンプライアンス）：主に合理的な監督、リスク管理を完了し、情報セキュリティに関連するすべての法律、規制、ポリシー、およびその他のコンプライアンスを実装します。関連作業。これらのタスクには、次のものが含まれます。

• 情報セキュリティプロジェクトと計画：関連する情報セキュリティ戦略を定義、完了、実施する
• リスク管理：情報セキュリティのリスク管理戦略、プロセス、および手順を確立する
• ガバナンス：情報セキュリティプロジェクトおよび計画のガバナンスおよび監督（変更管理委員会（CCB）およびその他の監視委員会またはグループを含む）
• コンプライアンス：セキュリティ管理手段がセキュリティ要件を満たすのに十分であることを確認し、関連する監査を完了します

人事および対外関係（PER、人事および対外関係）：企業情報セキュリティプロジェクトに関与する従業員および関連する外部人員のコミュニケーションおよび調整を担当します。これらのタスクには、次のものが含まれます。
対外関係管理には次のものが含まれます。

• 関連するサードパーティ（サプライヤー、サプライヤー、請負業者、パートナーなど）との関係を管理します
• 関連する広報を管理し、（米国では、NCCIC、NSA、DHS、CERT、FBI、メディアなど）

人事管理には次のものが含まれます。

• 次のセキュリティポリシーと要件（背景調査、後継者育成、懲戒処分、解雇など）に従って、従業員の雇用関係のライフサイクルとパフォーマンスを管理します。
• 情報セキュリティチームの知識、スキル、能力、および配布を管理する
• 企業全体に役割ベースの情報セキュリティ認識およびトレーニングプログラムを実装する
• 関連するポリシーを定義、実装、および実装する

セキュリティオペレーションセンター（SOC、セキュリティオペレーションセンター）

セキュリティオペレーションセンター：企業の日常のネットワークセキュリティオペレーションすべてを担当します。その多くはITメンバーによって定期的に実行および監視され、CISO組織に報告されます。以下は典型的なSOCジョブです。

• セキュリティインテリジェンスソースの収集（敵対行為、セキュリティアクティビティ、国内および国際的な進行中のセキュリティインシデントなど）
• 企業情報セキュリティの脅威の分析と管理
• 収集したインテリジェンスと脅威情報に基づいてセキュリティ状況の認識を実行し、企業の意思決定者向けの運用上の観点を備えたレポートを生成します
• ロギング（ユーザー、アプリケーション、ネットワーク、システム、物理的資産へのアクセスなど）
• ログおよびその他の関連情報（ユーザー、アプリケーション、ネットワーク、システム、物理資産へのアクセスなど）を監視します。
• 企業ネットワークのセキュリティの脆弱性、ウイルス、悪意のあるコードの管理
• 企業情報のセキュリティのためのインシデント対応ヘルプデスクを提供します。この作業部門は、コンピューターインシデント対応チーム（CIRT）またはコンピューターセキュリティインシデント対応チーム（CSIRT）とも呼ばれます。
• セキュリティインシデント管理（検出、分析、対応、および回復）
• 必要に応じて、セキュリティインシデントに関与する内部の利害関係者および外部の組織と通信します

緊急時の運用および対応管理部門（EOIM、緊急時の運用およびインシデント管理）

緊急時対応部門はSOCと緊密に連携し、重大なセキュリティインシデントが発生した場合に会社員を動員し、緊急時対応計画を立案し、処理時間のかかる対応・対応業務を管理することを主な責務としています。通常の状況では、部門とSOCメンバーは次のタスクを完了します。

• インシデントの管理と対応を計画する
• ビジネスの継続性を確保する方法を計画する
• ITレベルでの災害復旧の計画
• すべての対応計画をテスト、実行、最適化する
• セキュリティインシデント後の問題管理、根本原因分析、およびイベント後のレビュー
• 必要に応じて、セキュリティインシデントの発生中および発生後に法的および規制上の調査を実施し、必要な調査において法執行機関およびその他の規制機関と協力します。

セキュリティエンジニアリングおよび資産セキュリティ（SEAS、セキュリティエンジニアリングおよび資産セキュリティ）
セキュリティエンジニアリングおよび資産セキュリティ部門には、図に示す6つのサブ部門が含まれています。同じ部門でセキュリティエンジニアリングとアセットセキュリティを組み合わせる主な理由は、セキュリティオペレーションの運用中、関連する購入およびセカンダリで、企業資産（ホスト、ネットワーク、システム、アプリケーション、および情報）の安全性を確保するためです。開発作業は最も効率的であり、より大きな協力が必要です。近年、DevOpsの一環として、このような共同作業のメリットが多く見られます。つまり、企業のCISOは、関連する技術的リーダーシップの決定遺伝子と従業員の関連する技術的能力を考慮します。仕事はさまざまな企業部門に分かれています。

セキュリティエンジニアリング部門（SE、セキュリティエンジニアリング）は、次のタスクを完了します。
セキュリティ要件：セキュリティ、機密性、整合性、および企業への可用性の3つの要素を定義、割り当て、指定します。

• 開発および取得作業と関連資産の要件
• セキュリティアーキテクチャ：企業ネットワークのセキュリティアーキテクチャを開発および維持する
• 安全ライフサイクル：調達と開発のライフサイクル全体を通じて、企業のすべての資産が安全要件を完全に満たすようにするため
• 認定と認定：新しいシステムとソフトウェアが通常の運用に入る前に、必要な認定と認定を完了してください

IDおよびアクセス管理部門（IAM、Identity＆Access Mgmt。）：代表者がアクセスする必要のある人、機器、およびその他の資産（情報、テクノロジー、施設など）のIDを定義および管理する責任があります。この部門は、これらのIDとそのアクセス許可に基づいてアクセス制御ポリシーを定義および実装する責任もあります。IDおよびアクセス管理の技術的な方法には、Active Directory、パスワード、PIN（個人識別番号）、デジタル署名、スマートカード、バイオメトリクスなどがあります。

アプリケーションセキュリティ部門（AS、アプリケーションセキュリティ）は、次のタスクを完了します。

• ソフトウェアやアプリケーションシステムなどの資産を開発および維持する
• 関連するソフトウェアおよびアプリケーションシステムを保護するために、安全要件に従って必要な管理手段を定義、実装、評価、および維持します。
• 管理ソフトウェアとアプリケーションシステムのパラメータ設定
• 管理ソフトウェアとアプリケーションシステムの更新

ホストおよびネットワークセキュリティ部門（HNS、ホストおよびネットワークセキュリティ）は、次のタスクを担当します。

• ネットワーク（ワイヤレスネットワークを含む）、ハードウェア、システム、モバイルデバイスなどの資産を開発および保守する
• 関連するネットワーク、ハードウェア、システム、およびモバイルデバイス（***防御および検出システムなど）を保護するために、セキュリティ要件に従って必要な制御手段を定義、実装、評価、および維持します。
• ネットワークと企業ネットワークの境界（ファイアウォールやVPNなど）を保護するためのセキュリティ要件に従って、必要な制御手段を定義、実装、評価、および維持します。
• ネットワーク、ハードウェア、システム、およびモバイルデバイスのパラメータ構成を管理する
• ネットワーク、ハードウェア、システム、およびモバイルデバイスの更新を管理する

情報資産セキュリティ（IAS、情報資産セキュリティ）は、次のタスクを担当します。

• 会社の情報と重要な資産を特定、優先順位付け、分類します（ここでの分類は通常、情報資産の重要性と機密性に基づいています）
• 会社の情報資産を開発および維持する
• 情報および重要な資産（メディア情報を含む）を保護するためのセキュリティ要件に従って、必要な管理手段を定義、実装、評価、および維持します。

企業の物理環境セキュリティは通常、企業の最高セキュリティ責任者（CSO）など、企業の別の部門に割り当てられます。つまり、作業はCISOの責任の範囲内ではありません。CSOとCISOは緊密に連携して、物理的な施設などの有形資産、特に情報技術や運用データを含む資産のセキュリティを確保する必要があります。この物理アクセス制御部門（PAC、物理アクセス制御）をCISOアーキテクチャに含めます。目的は、環境施設やその他の物理資産（ネットワークやホストなど）への物理アクセスに必要なデジタルおよび電子アクセス制御を定義および実装することです。この部門の範囲は限られているため、アイデンティティやアクセス管理などの他の部門と組み合わせて、CISO構造内の1つの部門にすることもできます。

情報セキュリティ執行評議会（ISEC、情報セキュリティ執行評議会）

情報セキュリティ実行委員会： CISOにアドバイスを提供し、CISOが次の3つのタスクを確実に実現できるように支援する責任があります。

• エンタープライズ情報セキュリティの目標と要件
• セキュリティポリシー、プログラム、および計画が実装されています
• 社外で必要なコンプライアンス義務を履行する

ISECは、CISOのガバナンスと監視の責任の側面です。
ISECには、企業の最高執行責任者、最高情報責任者、最高財務責任者、最高セキュリティ責任者（または企業の物理的環境セキュリティの責任者）、法律顧問、人的資源、最高プライバシーなど、企業の関連する意思決定部門または事業部門の主要メンバーが含まれます。役員、マーケティング広報、マーケティング、事業部長、エンジニアリング部長、情報技術部長等。

ホログラフィックネットワーク制御について：ホログラフィックネットワーク制御テクノロジーは、NG-DLP、UEBA、NG-SIEM、CASBの4つの高度なテクノロジーを統合し、機械学習（人工インテリジェンス）を組み合わせて、ネットワーク内の目に見えないユーザーデバイスデータをリアルタイムで検出および再構築します。 「対話型の関係、ユーザーの行動を中心とした情報セキュリティリスク認識プラットフォームの立ち上げ、企業情報セキュリティ管理のための認識と死角のないインテリジェントなトレーサビリティシステムの提供、過去の効率的かつ正確な監査、現在の監視、未来の防止、大幅な改善ITセキュリティの運用と保守、およびセキュリティ担当者は、事故に対応し、証拠チェーンを取得し、説明責任を果たし、ITシステムの能力と効率を回復します。