エンジニアとコミュニティ

【IIJ 2017TECHアドベントカレンダー 12/15（金）の記事です】

こんにちは、ももいです。IIJ Engineers Blog では初めまして。セキュリティサービスまわりで開発なんかのお仕事してます。よろしくお願いします。

相島で会ったねこ

今回は私が参加している外部団体「日本セキュリティオペレーション事業者協議会(ISOG-J)」^(※1)の活動と、そこで先日まとめた文書のことをお話しします。

紹介する2つの文書は、たとえば下記のような方々に、何らかの参考になることを念頭にまとめたものです。実務の役に立ちそうなものだけ知りたい、活動の紹介にはあまり興味がないという方は、記事の一番最後にある文書の紹介まで飛んでください。

• セキュリティ対応とはどういうことかに興味がある
• セキュリティ対応組織を作ろうとしている、これから検討したい
• 組織でのセキュリティ対応について考え方を整理したい
• セキュリティ情報共有について基本的なところを考えたい

コミュニティと私

JNSA Malware Containment カードゲーム

私はけっこう前からいろいろな開発系のコミュニティや技術勉強会などに顔を出したり運営に関わったりしてきました。

そういう「仲間を増やす」「人をつなぐ」ようなことが好きな方だと思っていますし、それで関わったみんなが楽しくなるのも嬉しいので、社内でも似たようなことをいろいろしてきました。そんなことをしていると、お仕事としてもそういう話がやってきて、いくつかの外部団体の活動に関わるようになりました。

そのうちのひとつ、ここしばらく特に積極的に関わっているのが ISOG-J という団体です。

日本セキュリティオペレーション事業者協議会(ISOG-J)

正式名称は「日本セキュリティオペレーション事業者協議会」と言います。その名前のとおり、「セキュリティオペレーション」を事業としてやっている組織の人たちが集まっている会です。

事業者協議会

とか言われると、イメージ的には

堅そう

とか

スーツのおじさんたちが集まる業界団体

などと思うかも知れません。

いや、後者の

スーツのおじさんたちが集まる業界団体

というのはそれほど間違ってはいない^（※2）んですがｗ 活動の実態は、そのイメージとはちょっと違うと思います。

熱い人々の集まり

団体の設立趣旨や活動に関しては web に書かれていて、普段の動きの一端は Facebook ページなどから見えるんですが、実際は何をやっているのか、よく分かりませんよね… 今回はそれをちょっと紹介してみたいと思います。

セキュリティオペレーションと一口に言っても、実際の運用にはさまざまな職種のメンバーが関わっているし、行っている業務は組織ごとにかなり違います。

ISOG-J の活動も普段は各分野のワーキンググループ(WG)ごとに行われています。

セキュリティオペレーションにはたくさんの課題があり、その特定の課題についてなんとかしようという気運が高まると、なんとかしたい気持ちが一番強いリーダーを中心にして WG が立ち上がります。メンバーはそれぞれ興味がある WG を選んで、自由に活動に参加します。私は主に「セキュリティオペレーション連携 WG」「セキュリティオペレーション認知向上・普及啓発 WG」に参加しています。

WG6 開催中

先日行われた Internet Week 2017 「サイバー攻撃に耐える組織と運用」プログラム内では、セキュリティオペレーション連携 WG の面々で「今求められるSOC、CSIRTの姿とは〜世界の攻撃者をOMOTENASHIしないために〜」と題してパネルディスカッションをしました。

Internet Week 2017

初の Internet Week 登壇であがる私

---

各 WG は、それぞれに違いはありますが、だいたい月一ぐらいのペースで集まって課題にあたることが多いです。また、時間をとって集中的に議論や作業をしたい場合は、スケジュールを合わせて泊まり込みで合宿をして成果をまとめあげることもあります。

ISOG-J WG6 合宿で議論開始！

余談ですが、先日の会合で現時点で活動している

すべての WG に参加している

メンバーの存在が明らかになり、話題になりました。すごいバイタリティにみんな唖然…ｗ

山中湖のねこ

前述したとおり、WG は

いま困っているなにか

をどうにかしたいという想いから立ち上がります。

そして、それぞれのメンバーが興味がある WG に自分の意思で参加するため、その課題に対して

熱い想い

を持った人々が組織を越えて集まるわけです。議論が盛り上がらないはずがありませんｗ

WG6 真剣に議論中

WG の会合はだいたい夕方から夜にかけて開催されます。日中は日常業務があるため、それをちょっと早めに終わらせて集まることができる時間になることが多いです。

そして、会合の後には高い確率で懇親会が催されます。

Beer Beer!

そう。熱い議論はミーティングの後まで続くことも多いのです。

イベントで発注した巨大どら焼き

WG 会合も懇親会も、もちろん自由参加です。お酒を飲まない人もいるため、私が幹事をするときには

美味しい食べ物

があるお店を選ぶように心がけていますｗ

肉盛り

仕事で参加している業界団体の会合だといっても、集まっているメンバーは、同じ課題、似た課題を抱えていて、それを技術や運用などさまざまな手段で乗り越えようとしている

同志

なんです。エンジニアが自分の意思で参加している技術勉強会やその後の懇親会となにも変わりません。

アサリのアヒージョ

懇親会での突っ込んだぶっちゃけ話から

新機軸

が生まれて WG に発展することもあり、メンバーからはとても重要な場として認識されています。

どうぶつドーナツの群れ

集中的に作業や議論を重ねる合宿でも同様です。みんな自組織の現状や、問題を抱えている案件、そして世の中や世界を、少しずつでもよくしていこうと考えています。

馬刺し

宿泊イベントならではの

夜中の語らい

から、その後の活動につながるケースもかなり多いように感じます。

こんな合宿地も (この回は参加できなかった…)

キャンプファイアーを囲んで夜中まで語らう…

合宿の行きや帰りにも、流れで少人数に分かれてそれぞれ美味しいものを食べに行く… なんてことも。

湯河原で食べたクレームブリュレ

熱い面々が集まって、議論も、その過程も、前後のスキマ時間もそれぞれに熱く楽しむ。いいコミュニティといい循環ができているように感じています。

出せるものは出す

そんな本気で議論して本気で楽しむセキュリティオペレーション連携 WG ですが、出せるものは出すという方針をもって活動しています。

先日、WG から2つの文書をリリースしました。ここまで紹介したとおり、どちらの文書もいつもの議論の一端から生まれたものです。

無料でダウンロードできますので、興味を持たれた方は読んでみていただけると嬉しいです。フィードバックをいただいてよりよい内容に改訂していきたいので、リリースページにあるリンクからなんでもコメントを送ってください！

『セキュリティ対応組織の教科書 v2.0』

セキュリティ対応組織の教科書 v2.0 は、以前にリリースした文書の内容を拡充したものです。

組織でセキュリティ対応をするために必要な体制作り、スキル、人材などについては、他にも定番と言える文書が複数リリースされています。しかし、いざ実装しようとするとさまざまな苦労をすることになり、WG のメンバーもたくさんの話をほうぼうから聞いていました。

このような現状を踏まえて、ISOG-J 参加メンバーがセキュリティオペレーション事業者の視点からまとめた文書がこの「教科書」です。現場でのセキュリティ対応サイクルと、それに必要な機能という切り口でセキュリティ対応をブレイクダウンしているのが特徴ではないかなと私は感じています。

セキュリティ対応実行サイクル

機能と実行サイクルの対応

インソース・アウトソースの考え方についても機能別に分類して示しました。組織の現状から最終的に目指す姿へ向かうためには、どのような機能をどういう順番で補完していけばいいのか、考えやすく書かれているのではないかと思います。

また、セキュリティ対応組織の成熟度についても、日本の状況に合わせたモデルを提案しています。Excel で簡単に使えるセルフチェックシートをあわせて配布しています。メンバーの力作ですので、ぜひ使ってみてください。

• リリースページ

『セキュリティ対応組織(SOC, CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」』

タイトルが長いために WG 内では単に「5W1H」と呼ばれているこの文書は、セキュリティ情報共有をする際の課題や考え方について、基本に立ち返って整理してまとめたものです。

よい情報共有の流れ

有意義な情報共有ができる場を作るためには何が必要でどうすればいいのか、今回整理した内容は本当に基本的なところです。これを元にこれからも議論を重ねていきます。

• リリースページ

がんばる

そういうわけで、このメンバーでできそうなことはまだたくさんありそうなので、これからもみんなでがんばって話して、いろいろ出していきたいです。まる。

で、オチは？

初登場でネタ披露のチャンスだったアドベントカレンダー企画なのに、オチない文章を書いちゃって本当にごめんなさい…orz