Q1:組織対応力ベンチマークの目的は何でしょうか?
A1:組織のセキュリティインシデント対応能力の現状を評価することと、対策立案のための指針を提供することを目的としています。
Q2:対象となるセキュリティインシデントとは何でしょうか?
A2:サイバー攻撃による、例えば、サービス不能攻撃、標的型攻撃、内部からの不正アクセスなどの攻撃を指します。
Q3:対応能力をどのように評価するのでしょうか?
A3:以下の6つの分野の対応状況を5段階の評点で評価します。
・文書類の整備状況
・インシデント対応チームの構成
・インシデント対応の準備
・予防
・検知と分析
・封じ込め・根絶・復旧および事後活動
Q4:組織対応力ベンチマーク評価を実施した結果として目安となる達成度はありますか?
A4:インシデント対応についての検討が、網羅的に実施されることを目標として作成されていますので、各設問の回答が「3」の状態に 到達しているかが評価の目安となります。
Q5:CSIRTやインシデントハンドリング等が分からない初心者でもベンチマーク実施は可能でしょうか。
A5:別紙として解説書を用意しております。専門的な用語についても説明を付けておりますので、初心者の方にでもご利用頂けるかと思います。
Q6:ベンチマークを行う場合には必ず「解説書」を読む必要があるでしょうか。
A6:必ず読む必要はありませんが、解説書には各項目の意味や目的、評価の基準を記載しておりますので、読んで頂くことで各組織の正確な状況が把握できると考えております。
Q7:CSIRTが無い組織では評価できないのでしょうか?
A7:CSIRTはセキュリティインシデント対応を専任された部署ですが、CSIRTが無い組織でもインシデント対応は必要となります。このため、CSIRTが無い組織でも組織対応力ベンチマークを用いて評価できるように構成されています。
Q8:情報システムの維持管理を子会社に委託している場合には、組織対応力ベンチマーク評価を実施する必要は無いのでしょうか?
A8:情報システムの維持管理を委託しているか否かに関わらず、セキュリティインシデント発生時には何らかの対応を実施する必要があります。このため、情報システムの維持管理を子会社に委託している場合でも、自組織の評価を実施する必要があります。
Q9:ベンチマークチェックを実施する際に、どのような立場の職員が質問に回答することを想定していますか?
A9:セキュリティインシデントに備えて対応する責任を持つ立場の方が、回答することを想定しています。この他には、システム管理者、ネットワーク管理者、セキュリティスタッフ等を想定しています。
Q10:組織対応力ベンチマークについて質問等ある場合はどこに問い合わせすればよいでしょうか?また、組織対応力ベンチマーク評価を実施した結果、何か対策をしたいといった場合の相談窓口はありますか?
A10:以下にメールにてお問い合わせください。
info@ogc.or.jp
Q11:企業の対応状況を調査し、ベンチマークを付けてくれるサービス等は考えていますでしょうか。
A11:OGCとして対応することはございませんが、OGCの会員企業で個別に対応することは想定しております。
Q12:組織対応力ベンチマークをカスタマイズして利用することは 可能でしょうか?
A12:カスタマイズして利用することは可能です。著作権は一般社団法人オープンガバメントコンソシアムに帰属しますので、ご利用の際は下記をご確認ください。
https://ogc.or.jp
Q13:評価結果のフィードバックは必要でしょうか?
A13:評価結果のフィードバックは不要です。
Q14:組織対応力ベンチマーク評価を多くの企業が実施した結果、たとえば業界ごとの標準レベルのようなものを 公開するといったことは考えていますか?
A14:将来的には検討中です。業界標準と自社の結果の比較において、必要な対策を行う際の社内のマネジメント層への説明に活用いただくことを想定しています。企業名が特定できない形で、平均値や分布をご提供したいと考えております。
Q15:組織対応力ベンチマークを改版する予定はありますか?
A15:業界に特化した形態に改版することを検討中です。
Q16:NIST SP800-61の最新版(Revision 2)対応は予定していますか?
A16:今のところ最新版(Revision 2)へ対応する予定はありません。最新版との差分評価は実施済みですが、組織対応力ベンチマーク評価の質問に関係する大きな変更はありませんでした。
Q17:これからCSIRTを作る組織に対しても活用できますか?
A17:活用できます。
Q18:チェックシート、解説書はOGCから無料で提供されるのでしょうか?
A18:無料で提供します。OGCのホームページからダウンロードして使用できます。
Q19:チェックシートに関連するコンサルティングサービスをOGCが提供するのでしょうか?
A19:コンサルティングサービスをOGCが提供することはありません。
Q20:NIST SP800-61をベースに、IPAやJPSERTのガイドライン等を参考にしてチェックリストを策定したということですが、(サイバーセキュリティインシデントへの)組織対応力を評価するこのようなチェックシートは日本では初めてものでしょうか?
A20:サイバーセキュリティインシデントへの組織対応力を評価するベンチマークとしては、日本で初めてと思われます。
Q21:CSIRTへの注目が集まっていますが、マイナンバーとの関係はいかがでしょうか?
A21:マイナンバーを扱う場合には組織の責任が重くなるので、対応力が問われることになります。このため、チェックリストを活用してもらいたいと考えています。
Q22:ITを外部に委託している場合でもCSIRTは必要でしょうか?
A22:ITの外部委託の有無にかかわらず、情報セキュリティインシデントへの対応は必要になります。このため、ITを外部に委託している場合には、委託先との責任分界を明確にしておく必要があります。
Q23:OGCとして、このチェックリストのビジネス活用を考えていますか?
A23:チェックシートを活用して我が国にCSIRTを普及させることを第一の目的と考えています。但し、CSIRT組織化に際してコンサルを求める場合には、問合せに対応いたします。
Q24:CSIRTやこうしたチェックリストを必要と感じていない企業は日本にはまだ多いと思いますが、企業の意識を喚起する方策はありますか?
A24:このチェックリストを策定するにあたり、特に中小企業の意識を喚起したいとOGCは考えていました。しかしながら、現時点ではそのための具体策は持っておりません。
Q25:OGCはサイバーセキュリティを扱う専門組織ではないと思いますが、サイバーセキュリティを扱う専門の政府機関や民間団体とどのように関係を持つのでしょうか?
A25:今後、サイバーセキュリティを扱う専門の政府機関や民間団体と協力関係を築いてゆきたいと考えています。
Q26:CSIRTを導入することによる投資効果を評価するような改変は考えていますか?
A26:投資効果の評価までは考えていません。