「ソフトバンクのSecurity by Designのための人材育成」
ソフトバンク株式会社 技術管理本部 ISC統括部 テクニカルマイスター 日名子 聡志 様
<プロフィール>
CompTIA CySA+/PenTest+/CASP+, CISSP, PMP
ソフトバンク株式会社で情報セキュリティ委員会、SOC(Security Operation Center)、脆弱性評価チーム、組織内CSIRTの立ち上げにたずさわってきました。通信事業の情報セキュリティを専門に扱っておりインターネットの脅威情報を分析しています。
【ISC(Information Security Committee)が進めるSecurity by Design】
・運用や実装段階ではなく、上流の企画・設計段階からセキュリティ設計を定義する。
・手戻りなく、コストを抑え、保守性(ライフサイクル)を考えた開発を行うことが目的。
・NISCが推進するSecurity by Design。
・NIST SP800-64「情報システム開発ライフサイクルにおけるセキュリティの考慮事項」やSD3+C Framework (Security by Design/Default/Development/Communications)、マイクロソフト社の「セキュリティ開発ライフサイクル」も一部取り入れ。
【背景】
・企画・要件定義を行うのは「プロダクト企画部門」、設計は「システム企画部門」。この部門に如何にセキュリティ設計をしてもらうかを検討。
・プロセスを見直し、設計前に「開発審議会」、リリース前に「リリース判定会議」を設け、セキュリティ機能が入っているかチェックする関所を設置。
=開発審議会=
データ管理チームがデータの取り扱いについてチェック。法的に扱ってよいデータかどうか、個人情報保護の観点などでチェック。セキュリティチームのリスクアセスメントの有無の確認。
=リリース判定会議=
品質プロセスの一部として、脆弱性診断の実施
【課題】
・開発案件が多岐に渡り、数も多く、セキュリティチームが全ての審議会へ出席し、セキュリティチームだけで全てのリスクアセスメントを行うことが困難。
・チェックを通した後のセキュリティ問題に対し、セキュリティチームが全ての責任を負わされてしまう。
【体制】
・ITガバナンスモデルに合わせ、体制を構築。フルタイムのセキュリティ対応は、ISCとSOC。各事業部門のセキュリティ責任者は、CSIRT担当(約200名)、管理担当(約200名)、自主監査担当(約200名)に分かれ、事業部門での職務と兼務する。※2021年1月時点の体制。
・各事業部門でセキュリティ設計の承認を行う。企画部門(開発の承認)、開発部門(リリースの承認)、運用部門(廃棄や延長に関する承認)のために、それぞれセキュリティ責任者を配置。セキュリティチームは、アドバイスや承認のための判断材料を提供する。
・判断を仕切れるだけのセキュリティスキルを持つセキュリティ責任者600名の育成。
→ CompTIA Security+の取得
・将来的には資格取得をしていないと任命できないように検討。
【今後について】
・EXPO2025大阪・関西万博までに、2021年1月時点の従業員約17,000名に対してセキュリティの適正な人材数として約1,200名まで増員を検討
※ガートナーのセキュリティ投資に関する、IT予算に占めるセキュリティの割合(3%〜7%)を参照
・部門のセキュリティ責任者のモチベーション維持の検討
・特殊資格手当(セキュリティ責任者に任命で)、賞与査定(MBO)などへの加点
・最先端のトレーニング受講
・リスクアセスメント結果、脆弱性診断結果、構成管理等、セキュリティチームの機密情報データベースへのアクセス権限付与
・セキュリティチームへの直接相談
【セキュリティチーム(ISC、SOC)の人材育成】
・セキュリティの関する推奨資格を考える上で、DoD Directive8570.1Mを参照
厳格な情報管理がされている機関で導入している資格を参考
・グローバルに事業展開をするため、ANSI/ISO/IEC17024を取得している資格も参照。
・セキュリティのキャリアパスを策定
セキュリティ部門に配属された場合に、CompTIA Security+を配属時に取得、その後、クライアント系、NW系、クラウド系にパスを描き、SOCアナリストにCompTIA CySA+、脆弱性診断にCompTIA PenTest+、インシデントハンドラーにCompTIA Project+、それぞれを選択して進むべき道を描いている。5年目以降はCISSPを目標。
ケーススタディとしても下記にてダウンロード頂けます。
https://www.comptia.jp/merit/company_casestudy/