Talk With an Expert

経営視点で読み解くセキュリティポリシーと現場展開

情報セキュリティポリシーや規定、そして経営層の視点を体系的に学ぶことで、組織の目標や方針を正確に捉え、現場へのスムーズな浸透と意識向上を実現。

NTTデータグループでの業務内容とその重要性を教えてください。

現在所属している情報セキュリティ推進室は、NTTデータグループおよびグループ会社を含む全体のセキュリティ向上をミッションとしている組織です。特にNTTDATA-CERTは有事の際にはインシデントレスポンスを行いながら、平時の際にはセキュリティ施策推進を担っています。

私はその中で、脆弱性管理、OSINT、インシデント報告ルール整備、インシデント全体分析の4つの業務を所掌しています。

脆弱性管理業務は、脆弱性に起因するインシデントを未然に防止するために、情報収集から分析、展開、対応の管理まで行っています。1000を超えるプロジェクトや組織が対象であるため、パッチ適用や暫定策の実施は各部で行っていますが、そのモニタリングを含め管理を担当しています。

OSINT業務は、オープンソースで得られる脅威情報やIoC情報を収集し、分析展開を行う業務です。MISPを使い、情報の収集から展開まで自動的に行うシステムを構築運用しています。また、ダークウェブの監視などもこのチームで行っています。

インシデント報告ルール整備は、各プロジェクトやグループ会社で発したインシデントをいち早く報告してもらう規程類の整備や初動対応の訓練を担当するチームです。報告に必要な情報の整理や連絡先の管理、インシデント発生時の会議運営に必要なツールの作成も担っています。

インシデント全体分析は、AIや統計的手法を使い、通年のインシデント分析や個々のインシデント対応者をサポートするツールを作成するチームです。まだ、できたばかりのチームで内部での検討を進めながらツールのリリースを進めています。

これらのチームはいずれも大規模な組織においてセキュリティレベルを維持、向上させるためには不可欠な機能を担っていると考えています。

大石様はLDR514をご受講されていますが、受講されようと思ったきっかけを教えてください。

私がインシデント報告ルール整備の業務についた際には、情報セキュリティポリシーや規定類の知識や経験をあまり持っていませんでした。そこで体系的にこれらを学びたいと思い調査したところ、LDR514: Security Strategic Planning, Policy, and Leadership™を見つけました。

LDR514のコースで学んだリーダーシップや政策策定に関する考え方の中で特に印象に残っているものはありますか?

セキュリティポリシーからの例外要求(逸脱要求)に対する考え方が含まれているのが印象的でした。現実的には、例外は発生し得るものとして対応すべきですが、教本やトレーニングではその扱いを取り上げるものは少ないと思います。

LDR514で学んだ内容を、現在の業務や組織でどのように活用されていますか?

本コースを現在の職位(課長)になる前に受講しました。事前に学習することで、リーダーシップの考え方やフィードバックのやり方、業務のアサインなど、実際に管理職なった後の日々の活動に役立っています。また、経営層へのアプローチや考え方を学ぶことで、組織目標や方針の理解が進み、メンバーへの落とし込みが容易になりました。また、フィードバックにおけるFILEモデルをメンバーへのフィードバックの際や1on1ミーティングにて活用しています。

このコースが大石様の業務や組織で役立った具体的なエピソードなどあれば教えてください。

親会社のセキュリティ規程改正に伴い、他のチームが所掌する上位の情報セキュリティポリシーおよび私が所掌する下位のインシデント報告ルールへの影響調査と記述の修正や見解の合わせ込みをする機会がありました。このコースで学習したポリシーピラミッドの考え方をベースにすることで、それぞれの文書で著されるべき記述が理解され、スマートに内容を整理することができました。

LDR514: Security Strategic Planning, Policy, and Leadership のコースは、どのような業務に携わっている方に特におすすめだと思いますか?

セキュリティの社内ルールや規定類の策定および運用を担う方におすすめです。どのように文書類を体系立てて、どのように適用し、どう許容、変更していくのか学ぶことができます。

また、これからセキュリティチームを立ち上げ、率いる方にもどのように立ち振る舞うのかの一助となると思います.

LDR514: Security Strategic Planning, Policy, and Leadership™のGIACも取得されているかと思いますが、GIACを取得しようと思った理由はありますか?

SANSのトレーニングは数日の間に多くの知見をこれでもかと言うほど学習します。これらを身につけ自分のものにし業務に活用するためには、単に受講するだけではなく、資格取得の試験対策まで含めた自習が重要であると考えたからです。実際に研修中では理解が浅かった内容も模擬試験などを通じて、理解を深めることができました。

今後受講を検討しているコースなどあれば教えてください。(理由を含め。)

LDR553: Cyber Incident Management

これまではインシデントレスポンスの際にインシデントレスポンス(IR)リーダーを担っていましたが、役割が変わりIMを担うことを期待されています。本コースでは、インシデントマネージャー(IM)としての実践的なトレーニングが望めるほかに、所掌チームの今後の施策として、脅威インテリジェンスの活用やサプライチェーンインシデントへの適応も考えており、多いに役立つと考えています。

ご受講いただいたコース一覧:

保有しているGIAC:

  • GIAC Cyber Threat Intelligence (GCTI)
  • GIAC Strategic Planning, Policy, and Leadership (GSTRT)
  • GIAC Certified Incident Handler Certification (GCIH)
大石 眞央 | SANS Institute