はじめに

概要

2025年10月17日に、日本セキュリティオペレーション事業者協議会（ISOG-J）^[1]より「セキュリティ対応組織の教科書」^[2]の補足資料で、当社セキュリティ＆テクノロジーコンサルティング事業本部の河島 君知と私が作成協力した「別紙：FIRST CSIRT Services Frameworkとのマッピング」が公開されました。

「別紙：FIRST CSIRT Services Frameworkとのマッピング」は、以下のページよりダウンロードできます。
https://isog-j.org/output/2023/Textbook_soc-csirt_v3.html

この別紙は、「セキュリティ対応組織の教科書」 にFIRST CSIRT Services Framework^[3]を取り入れるために、国際勧告ITU-T X.1060^[4]とFIRST CSIRT Services Frameworkをマッピングしたものになります。
昨今、サイバー攻撃の高度化・巧妙化・多様化などによりSOCやCSIRTの必要性・重要性はますます高まっています。
本コラムでは、国際勧告ITU-T X.1060 共同エディターでISOG-J 副代表かつISOG-J WG6リーダーである武井 滋紀氏との対話を通じて、ISOG-Jの取り組みを起点に、SOC/CSIRTの未来像とその実現に向けたステップを考察し、活用・実践について私の見解を共有します。

別紙マッピングについて

「別紙：FIRST CSIRT Services Frameworkとのマッピング」は、CDCを対象とするITU-T X.1060と、CSIRTを対象とするFIRST CSIRT Services Frameworkの間にあるレイヤーの違いを整理し、両者の連携や理解を促進することを目的としています。
私は、このマッピングにより関係者間での共通認識形成が容易になると思い、作成に協力しました。

「セキュリティ対応組織（SOC/CSIRT）の教科書」の別紙として追加。リリースの狙いは？

―― FIRST CSIRT Services Frameworkを取り入れようと考えられた背景には、どのような理由があったのでしょうか？

武井氏：2019年にITU-Tの議論の中でもFIRST CSIRT Services Frameworkとの連携をした方がいいという話が上がっていたので、取り組んでいこうとなったのが始まりです。
CDCは日本がずっとリードしているので、引き続き頑張っていきたいという思いがあり、ISOG-J WG6の活動で取り組もうと思いました。

―― そういうことだったのですね。なぜFIRST CSIRT Services Frameworkとの連携をした方がいいとなったのですか？

武井氏：FIRST CSIRT Services Frameworkの付録でもCDCという言葉は出てきているので、連携しようとなりました。
Team Types Within the Context of Services FrameworksこのページでCDCという言葉が出てきています。

―― 確かに出てきていますね。FIRST CSIRT Services Frameworkとの連携の狙いは何だったのですか？

武井氏：FIRST CSIRT Services FrameworkはCSIRTについて一段細かく書かれているので、マッピングによって、ITU-T X.1060からCSIRTを実装しようとしたときの解像度を上げるというのが狙いです。
ITU-T X.1060とFIRST CSIRT Services Frameworkは対象のレイヤーが違うというのがポイントですね。
ITU-T X.1060は対象がCDCという組織単位ですが、FIRST CSIRT Services Frameworkは対象がCSIRTという機能単位になります。

インタビュー模様（下：武井氏、左上：後藤、右上：河島）

今後の展開と期待

―― 「セキュリティ対応組織の教科書」について、今後どのような展開や発展を想定されていますか？

武井氏：大きい方向としては、より活用しやすくする方向を狙っています。
2つあって、1つ目は「定義しているサービスを最新化（ブラッシュアップ）していく」ということ、2つ目は「今後も他のドキュメントと連携していく」ということです。

―― より活用しやすくするために、マッピング等を行うということですね。マッピングドキュメントリリースによって、どう活用しやすくなるとお考えですか？

武井氏：レイヤー毎に使うドキュメントをマッピングすることで、上のレイヤーと下のレイヤーの考え方を接続します。
これにより、異なるレイヤー間で「どこがどう繋がっているのか」が明確になり、組織内の役割や責任がより細かく理解できるようになります。
その結果、より実践的かつ効果的に活用できるようになると考えています。

※ 本図はCODE BLUE 2023の講演で当社セキュリティ＆テクノロジーコンサルティング事業本部の河島 君知が紹介した図を筆者が再構成したものです。

出典：CODE BLUE 2023 講演レポート　～セキュリティ技術者・経営層・サプライチェーンを繋ぐフレームワークとは～ | 株式会社NTTデータ先端技術

おわりに

武井 滋紀氏の発言からは、国際的な議論を踏まえた先見的な視点と、日本のCDC活動に対する強い責任感が伝わってきました。ITU-T X.1060とFIRST CSIRT Services Frameworkの連携は、単なる標準の統合ではなく、CSIRTにおける「解像度の向上」を狙った実務的なアプローチであることを改めて認識し、そうした意義ある取り組みに、「別紙：FIRST CSIRT Services Frameworkとのマッピング」の作成協力という形で関われたことに、あらためて喜びを感じました。
他でも同様の取り組みが行われているのか調査したところ、ITU-T X.1060と他オブジェクトをマッピングし、ブラッシュアップしている他の組織の活動を見つけることができたので、ITU-T X.1060をより使いやすくしたい、ITU-T X.1060の汎用性を高めたいという思いが、多くあるのではないかと感じました。
こうした背景を踏まえると、セキュリティ対応組織の教科書およびITU-T X.1060の活用は今後さらに活発化していき、SOCやCSIRTは「解像度の向上」を通じて、より実務的かつ効果的な進化が進んでいくのではないかと思いました。
実際にマッピングを進める中で、FIRST CSIRT Services Framework の「CSIRT単体のサービス提供にフォーカスされている」という設計観点が活かされ、CSIRT活動の各サービスがITU-T X.1060のどの要素に対応しているかを明確になり、従来は曖昧だった役割分担や運用責任の所在が可視化され、CSIRT活動の全体像をより構造的に把握できるようになったという新たな気づきがありました。
このような「構造の見える化」によって、CDCの設計や運用において、より精緻な意思決定が可能となり、結果としてセキュリティ対応の実効性が高まることが期待されます。
さらに、インタビューを通じてマッピングの効果に対する理解が深まり、「関係者間での共通認識形成が容易になる」という認識が一段と明確になり、以下のような具体的なメリットを再認識することができました。

ただし、こうしたマッピングやブラッシュアップの取り組みが進んでも、実際に運用されるCDCが存在しなければ意味がありません。CDCを構築し、「解像度の向上」を実運用に結び付けることで、セキュリティ対応の実効性を確保することが重要です。
実際には、「何から始めればよいか分からない」、「既存の体制との整合性に悩んでいる」といった声も多く聞かれます。こうした課題に対して、当社ではCDC構築のご支援を行っています。ご検討中の方は、ぜひお気軽に当社までお問い合わせください。
当社では、「お客様の事業内容、組織体制に合わせた実効性の高いCSIRT構築支援」や「長年に亘る運用構築の経験とノウハウを活かした、お客様拠点での新規SOC構築支援・既存SOC強靭化支援」など、お客様にとって最適なCDC構築サービスをご提供しています。

関連サービス

注釈