情報セキュリティ講座(6) 情報セキュリティの組織
情報セキュリティを守るために、企業内の組織、企業外の組織があります。
1. 企業内の組織
CISO(Chief Information Security Office)や、その指揮下の情報セキュリティ委員会を作ります。企業内の、情報セキュリティの権限を集中させ、企業全体に穴が空かないようにします。なぜなら、攻撃者は最も弱いところを攻めてくるからです。
CSIRT(Computer Security Incident Response Team)も、同様のコンセプトです。インシデントが発生したら、その情報を一元化し、トータルな対応をとるものです。
2. 企業外の組織
SOC(Security Operation Center)があります。情報セキュリティの対応を企業から受託し、監視や対策を行います。警備会社のようなサービスです。
公共の組織としては、IPAセキュリティセンターがあります。情報セキュリティに関する様々な情報を発信したり、研修を実施します。
脆弱性の情報をデータベース化する取り組みが、JVN(Japan Vulnerability Notes)です。様々な脆弱性を分類し、番号をつけて管理します。
内閣サイバーセキュリティセンター(NISC = National center of Incident readiness and Strategy for Cybersecurity)は、内閣官房に作られた組織です。内閣にサイバーセキュリティ戦略本部が設置されています。国家の、サイバーセキュリティの中核となります。
CRYPTREC (Cryptography Research and Evaluation Committees)は、電子政府推奨暗号の安全性を評価、監視、調査するプロジェクトです。暗号は情報セキュリティの最も重要な要素の一つですので、政府がしっかりと係るようになっています。
これらの企業内外の組織が連携して、企業や国家の情報セキュリティを守るようにしているのです。