セキュリティ ロールと責任
セキュリティ チームの個々のメンバーは、自分のことを、組織全体の一部であるセキュリティ チームに所属しているとみなす必要があります。 また、共通の敵に対抗する、大きなセキュリティ コミュニティの一部でもあります。
この包括的なビューにより、チームは一般的な作業を行うことができます。 このことは、チームが、ロールと責任が発展する過程で明らかになる予想外の隔たりや重複に対処する際に特に重要となります。
セキュリティの責任 (機能)
次の図は、セキュリティ分野内の特定の組織的な職務を示しています。 理想的なエンタープライズ セキュリティ チームの全体像を表しており、一部のセキュリティ チームにとっては憧れとも言えます。 1 人または複数のユーザーがそれぞれの職務を果たすことができます。 文化、予算、利用可能なリソースによっては、各個人が複数の職務を遂行することもあります。
次の記事では、各職務についての情報を説明しており、目的の概要も含まれています。 脅威の状況やクラウド テクノロジの変化に基づいて、職務がどのように発展していくかを説明しています。 また、職務の成功に不可欠な関係や依存関係についても検討しています。
- ポリシーと標準
- セキュリティ運用
- セキュリティのアーキテクチャ
- セキュリティ コンプライアンス管理
- 人のセキュリティ
- アプリケーションのセキュリティと DevSecOps
- データのセキュリティ
- インフラストラクチャとエンドポイント セキュリティ
- ID およびキー管理
- 脅威インテリジェンス
- 体制管理
- インシデントの準備
次の図は、セキュリティ プログラムにおけるロールと責任の概要をまとめており、これらのロールを理解するのに役立ちます。
詳細については、「クラウド セキュリティ機能」を参照してください。
セキュリティをビジネスの成果に対応付ける
組織レベルでは、セキュリティ規範が業界全体や多くの組織で見られる標準的な計画、構築、実行フェーズにマップされます。 デジタル時代と DevOps の到来により、このサイクルは継続的な変化のサイクルへと加速度的に変化しています。 また、セキュリティと通常のビジネス プロセスの対応付けも示しています。
セキュリティとは、独自の職務を伴う規範です。 通常の業務への統合は重要な要素です。
ロールの種類
前の図の色の濃いラベルは、これらの責任を、共通のスキルセットとキャリア プロファイルを持つ典型的なロールにグループ化しています。 これらのグループ化は、業界の傾向がセキュリティの専門家にどのように影響を与えるかを明らかにするのにも役立ちます。
- セキュリティ リーダーシップ: 多くの場合、彼らのロールは複数の職務にまたがります。 彼らはチームが互いに連携できるようにし、優先順位付けを行い、セキュリティの文化的規範、ポリシー、標準を定めます。
- セキュリティ アーキテクト: 彼らのロールは複数の職務にまたがります。重要なガバナンス能力を提供することで、すべての技術的な職務が一貫したアーキテクチャ内で調和して働くことができるようにします。
- セキュリティ態勢とコンプライアンス: この新しいロール タイプは、コンプライアンス レポートと、脆弱性の管理や構成基準などの従来のセキュリティ規範の統合がますます強化されていることを示しています。 セキュリティとコンプライアンス レポートの範囲と対象者は異なりますが、''組織はどのくらい安全か'' というさまざまなバージョンの質問に回答します。Microsoft Secure Score や Microsoft Defender for Cloud のようなツールの使用により、その質問への答え方はますます似てきています。
- クラウド サービスからのオンデマンドのデータ フィードを使用することで、コンプライアンスの報告に必要な時間を削減できます。
- 利用可能なデータのスコープが拡大することで、セキュリティ ガバナンスの対象は従来のソフトウェア更新プログラムやパッチに限定されなくなり、セキュリティの構成と運用方法から「脆弱性」を検出して追跡できるようになります。
- プラットフォーム セキュリティ エンジニア:これらのテクノロジ ロールでは、アクセス制御と資産保護に重点を置いた複数のワークロードをホストするプラットフォームに重点が置かれます。 多くの場合これらのロールは、専門的な技術スキル セットを持つチームにグループ化されます。 これには、ネットワーク セキュリティ、インフラストラクチャおよびエンドポイント、ID およびキーの管理が含まれます。 これらのチームは、予防的コントロールと発見的コントロールに取り組みます。発見的コントロールは SecOps とのパートナーシップであり、予防的コントロールは主に IT 運用とのパートナーシップです。 詳細については、「セキュリティの統合」を参照してください。
- アプリケーション セキュリティ エンジニア:これらのテクノロジ ロールでは、特定のワークロードのセキュリティ制御に重点がを置かれ、従来の開発モデルと最新の DevOps/DevSecOps モデルがサポートされます。 これは、固有のコードに関するアプリケーションおよび開発のセキュリティ スキルと、VM、データベース、コンテナーなどの一般的な技術コンポーネントに関するインフラストラクチャ スキルを融合します。 これらのロールは、組織的な要因に基づいて、中央の IT またはセキュリティ組織、あるいはビジネスおよび開発チーム内にある可能性があります。
最新化
セキュリティ アーキテクチャは、さまざまな要因の影響を受けます。
- 継続的エンゲージメント モデル: ソフトウェア更新プログラムとクラウド機能の継続的リリースにより、固定されたエンゲージメント モデルは過去のものとなりました。 アーキテクトは、技術的トピックの分野に携わるすべてのチームと連携して、それらのチームの機能のライフサイクルに沿った意思決定を導く必要があります。
- クラウドからのセキュリティ: クラウドからのセキュリティ機能を組み込むことで、有効化の時間と、ハードウェア、ソフトウェア、時間、労力などの継続的なメンテナンス コストを削減できます。
- クラウドのセキュリティ: サービスとしてのソフトウェア (SaaS) アプリケーション、サービスとしてのインフラストラクチャ (IaaS) VM、サービスとしてのプラットフォーム (PaaS) アプリケーションおよびサービスなど、すべてのクラウド資産がカバーされるようになります。 承認されたサービスと承認されていないサービスの両方の検出とセキュリティを含めます。
- ID の統合: セキュリティ アーキテクトは、ID チームと密接に連携して、生産性向上とセキュリティ保証という 2 つの目標を組織が満たせるようにする必要があります。
- 体制管理からのコンテキストとセキュリティ オペレーション センターによって調査されたインシデントなど、セキュリティ設計における内部コンテキストの統合:ユーザー アカウントとデバイスの相対的なリスク スコア、データの機密性、積極的に防御するための主要なセキュリティ分離境界などの要素を含めます。
推奨コンテンツ
- MCRA のセキュリティ ロール - YouTube:セキュリティ プログラムのロールと責任の概要。 このビデオでは、最新の攻撃、クラウド テクノロジ、ゼロ トラストの原則のニーズを満たすためにそれらがどのように進化しているかについて説明します。 ロールに関するこの全体的な見解には、役員会とエグゼクティブが含まれます。