NCA「CSIRT人材の定義と確保」更新、一部大学などに向けたモデルDを追加 | ScanNetSecurity
2025.10.04(土)

NCA「CSIRT人材の定義と確保」更新、一部大学などに向けたモデルDを追加

日本CSIRT協議会は、同協議会が策定する「CSIRT人材の定義と確保」をアップデートし、Ver.2.1として公開した。

製品・サービス・業界動向 業界動向
モデルDでのCSIRTの役割と業務内容の関連図(インシデント対応時)
モデルDでのCSIRTの役割と業務内容の関連図(インシデント対応時) 全 1 枚 拡大写真
 日本CSIRT協議会は8月23日、同協議会が策定する「CSIRT人材の定義と確保」をアップデートし、Ver.2.1として公開した。これは、セキュリティ人材不足が叫ばれている一方で、CSIRT組織が何をすべきか、必要な人材はどのように確保するのか、確保した人材をどのように育成するのかといったことが明確化されていないことから、CSIRTに求められる役割と実現に必要な人材のスキル、育成についてまとめたもの。

 今回の改訂では、CSIRTの役割と業務内容に「経営者(CISO、CSO、社長など)、CSIRT運営管理担当、システム運用担当」を追加。それに合わせ、CSIRTの役割と業務内容の関連図を修正した。また、各役割の呼称の一部変更、モデルDの追加。図表の変更、説明の追加など、細かな修正が行われている。

 モデルDとは、同協議会によるCSIRTの区分のひとつで、「モデルA~Cに当てはまらない一部の大学などにおいて構築・運用されているCSIRTの一例」としている。ちなみに、モデルAは「ユーザ企業で総務部門等を主体として構築・運用されているCSIRT」、モデルBは「ユーザ企業でIT系子会社、または情報セキュリティに関する専門部門を主体として構築・運用されているCSIRT」、モデルCは「IT系、セキュリティベンダー系企業において構築・運用されているCSIRT」となっている。

 具体的には、「モデルAに近く、事務の方を中心として、一部の役割をアウトソースしている大学。事務の方が全体統括としてCSIRTを取りまとめている」、また「モデルBに近く、情報センターを持ち、情報センターの方を中心としている大学。CISO、または情報センターの副CISOがCSIRTを構築してCSIRTを取りまとめている」ものをモデルDと定義している。

 「CSIRT人材の定義と確保 Ver.2.1」では、モデルDにおける実装例として、自組織で保有する役割とアウトソーシングする役割、自組織内での教育プログラムについて詳しく紹介されている。

《吉澤 亨史( Kouji Yoshizawa )》

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop