このセクションでは、PSIRTの計画や確立、また効果的に運用するために必要な重要なコンポーネントについて説明する。
目的:組織がPSIRTを確立し運用するための、基本的なコンポーネントを計画して、実装できるようにする
成果:その任務を遂行し、定義されたステークホルダに製品とサービスを提供する組織の能力の維持に寄与する PSIRTを組織が確立することを、PSIRT の運用基盤となるコンポーネントの特定/設計/実装によって助ける
11
1.経営層の支援
組織の経営層および主要な意思決定者からの支援を獲得する。
目的:PSIRTの効果的な運用を可能にするために、組織の経営層(たとえば、Cxレベルの役員、取締役会)または他の意思決定者からの支援を得る
成果:希望するビジネス指標に基づく継続的な資金提供と支援
経営層の支援を得るためには、PSIRTの運用目的、重要性、セキュリティ脆弱性の潜在的リスク、およびその運用の利点に対して理解を促す計画、その他の支援情報を提供し、経営層に理解してもらう必要がある。(下記の「PSIRT憲章」と「予算」を参照。)
関連情報については、「サービス1.1 内部のステークホルダ管理」を参照。
2.ステークホルダ(利害関係者)
ステークホルダを特定し、彼らとの関係性を明らかにする。
目的:PSIRTが誰にサービスを提供し、誰と連携するのかを理解する
成果:明確なステークホルダリスト
リストには顧客、セキュリティ研究者、CSIRT、その他のPSIRTのような外部のステークホルダや、ソフトウェア開発者、エンジニア、サポート、法務、広報などの社内ステークホルダなどが含まれる。
関連情報については、「サービスエリア1 ステークホルダエコシステムマネジメント」(特に「サービス1.1 内部のステークホルダ管理」、「サービス1.2 発見者のコミュニティとの交流」、「サービス1.3 コミュニティと組織との交流」、「サービス1.4 下流のステークホルダマネジメント」)を参照。
12
3. PSIRT憲章
PSIRT憲章あるいはその他の文書(戦略計画、実施計画、運用文書のコンセプトなど)を作成する。
目的:PSIRTが実施する業務の基本的なプログラム要素を特定、記述、文書化する
成果:PSIRTの構築理由と資金を確保できた理由、およびPSIRTに期待される成果を説明する文書が作成される
PSIRT憲章(または計画)では、以下を定義する必要がある。
? PSIRTのミッション(組織のミッション達成と整合性があり、それを助ける必要があ
る)
? 目的、役割と責任
? 製品やサービス(脆弱性報告の受け取り、修正プログラムやパッチの開発、パッチ情報
の配布など)
4. 組織モデル
PSIRTの組織構造とモデルを決定し、文書化する。
目的:PSIRTが運営する組織モデルを特定、記述、文書化する
成果:文書化された役割と責任に基づいて、明確なチーム構造を作る
文書化された組織モデルでは、PSIRT内部の報告体制を記述し、PSIRTの活動が立脚している権限を特定する必要がある。一般的な組織モデル(分散モデル、集中モデル、ハイブリッドモデルなど)の説明については、イントロダクションの「PSIRTの組織構造」を参照。 また、「サービス 1.5 組織内でのインシデントに関するコミュニケーションの調整」も参照(たとえば、PSIRTは最高情報セキュリティ責任者(CISO)に直接報告する)。
13
5. マネジメントとステークホルダの支援
組織の管理者や内部のステークホルダからのサポートの「合意」を得る。
目的:PSIRTの効果的な運用を可能にするために、他部門の経営層およびステークホルダからの支援の合意を得る
成果:ステークホルダには、継続的な支援を可能にする重要なビジネスメトリクスが示される
関連情報については、「サービス 1.1 内部のステークホルダ管理」を参照。
6. 予算
PSIRTを運用するために必要なリソースを特定し、これらのリソースを賄うための適切な資金を調達する。
目的:PSIRT運営に必要な資金が提供されるモデルを特定、記述、文書化する
成果:PSIRTの運用コスト、経費、資金供給モデルの文書化
予算には、PSIRTスタッフを雇用するための経費(給与、福利厚生、その他のコスト)、機器およびその他の経費(情報技術システム/機器、ソフトウェアライセンス)、訓練予算(旅費を含む)が含まれていなければならない。
7. スタッフ
PSIRTのサービスを提供するための人材を特定し、熟練したスタッフを獲得する。
目的:PSIRTメンバーをアサインできる組織モデルを特定、記述、文書化する
結果:PSIRTの人的リソースのニーズを文書化
文書には個々のメンバーのスタッフのポジションや役割、責任、またそれらの役割に期待さ
14
れる能力(知識、技能、能力(KSAs)およびその他の要件(学歴、職歴、資格など)を明記する。また、フルタイムの従業員、ベンダ、請負業者を、またはそれらを組み合わせたものを、PSIRTメンバーとしてのポジションや役割に割り当てることができる。
PSIRTのスタッフ配置計画の一環として(または別の文書に記載されているように)、PSIRTのスタッフに対する一般的な訓練や個人の役割に基づく訓練の要件を特定し、計画する必要がある(前者はたとえば、PSIRTの初心者研修/自発性を促す研修、継続的な訓練、教育、意識啓発。後者は専門的な人材育成のための具体的な訓練)。
関連情報については、サービス 6.1 を参照。
8. リソースとツール
PSIRT運用のために他に必要なリソースやツールを特定して取得する。
目的:PSIRTが機能するために必要なリソース、機器、ツールの特定と取得
結果:PSIRTのツールとリソースのニーズが文書化され、組織に理解される
これらのリソースとツールには以下が含まれる。
? 施設(オフィススペース)などのインフラ
? ツール/技術/機器(ハードウェア、ソフトウェア)(例:「サービス3.3 脆弱性の再現」
を参照)
? 脆弱性報告システム/方法(例:ウェブサイト、Eメール、電話)(「サービス 2.1 脆弱
性報告の受付」を参照)
? 安全なコミュニケーション(例:PGP/暗号化)(「機能 1.5.2 安全なコミュニケーショ
ンの管理」を参照)
? 脆弱性データベース/トラッキングシステム(例:「機能 1.5.3 発見者データベース」
を参照)
9. ポリシーや手順
ポリシー、プロセス、運用に関連する手順の文書化。
15