狠狠撸

狠狠撸Share a Scribd company logo

教育侧から见たセキュリティ人材教育の「明日はどっちだ」

?
?
Yutaka Yasuda
Yutaka Yasuda

2018/3/8 関西CIOカンファレンス -産業界が求めるサイバーセキュリティ人材像とその育成?確保- での発表資料(+α) http://www.kiis.or.jp/research/cio/conference/

1 of 17
Download to read offline
n? f g _ _ w k R J RC 6V : FV S O V iv
v s ? c d e ? n? l ? _ c p wd ) e ? n? r c ? c wdt ujt uje
c ? j c j ? _ d e j d e_ d e ? s fskjk o j g jk j ? ( ( v d e ov j
教育侧から见たセキュリティ人材教育の「明日はどっちだ」
?
?
C ”
C ” S
” ” “
教育侧から见たセキュリティ人材教育の「明日はどっちだ」
教育侧から见たセキュリティ人材教育の「明日はどっちだ」
“ f5 -g 0 ( c 5 - 2: f g K / 7 - ( . n?d i e
Y 2: f g j f g c v Y p pi d r we 2: o j 85 lp” y d we C Y c o d e bvj oi w o k n w j js j ji r
o p k ? _ ? ( ( v d we ? 3 A J c a f o d eg ? N c ? p v w
教育侧から见たセキュリティ人材教育の「明日はどっちだ」
4 ( - N /- N 0 TTT N F IN K / ., NC
2942 2:3 N0 VA O O J O IN O U ( , / 1 9 N O 5 F 9 O NC 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 全体統括管理 サイバーセキュリティ 統括 サイバーセキュリティ対策に関する全社的統括 ○ 5 ○ 4 ○ 4 × 1 × 1 ○ 4 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 4 △ 1 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 △ 1 × 1 × 1 × 1 × 1 × 1 事業戦略 中期計画 コンプライアンス、ガバナンス及びリスクマネジメントの観点に基づく セキュリティ対策 ○ 4 ○ 4 ○ 5 △ 4 △ 4 ○ 4 × 1 ○ 2 × 1 × 1 × 1 × × 1 ○ 3 △ 2 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 △ 4 △ 2 △ 4 △ 2 年次計画 セキュリティ対策に係る実施計画の企画立案 規程?ルールの策定 ○ 4 ○ 4 ○ 5 △ 4 △ 4 ○ 4 × 1 ○ 2 × 1 × 1 × 1 × 1 ○ 1 ○ 3 △ 2 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 ○ 5 ○ 3 ○ 5 ○ 3 各事業に対するIT導入?構築運用改善計画の企画立案 ガイドライン?マニュアルの策定 ○ 4 ○ 4 ○ 5 △ 4 △ 4 △ 1 × 1 △ 1 ○ 2 ○ 2 × 1 × 1 △ 1 ○ 3 △ 3 △ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 ライセンス管理を踏まえた、リプレース計画の企画立案 固定資産管理?ソフトウェア会計管理 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 △ 1 ○ 2 ○ 2 × 1 × 1 △ 1 ○ 3 △ 3 △ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 ユーザビリティの観点に基づく機能改善?実装計画の企画立案 エンドポイント及びUIに関するセキュリティ機能改善計画の策定 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 ○ 2 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 3 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 システムセキュリティの観点に基づく機能改善?実装計画の企画立案 システム構成に関するセキュリティ機能改善計画の策定 ○ 4 ○ 4 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 ○ 2 ○ 2 × 1 × 1 ○ 2 ○ 3 ○ 3 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 事業継続 IT-BCP ICT環境における事業継続計画の策定 サイバーセキュリティ保険の導入検討 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 △ 1 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 2 ○ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 災害対策(DR)に関するICT環境改善計画の策定 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 △ 1 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 2 ○ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 災害対策及び災害発生時に関する稼働計画の策定 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 △ 1 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 2 ○ 2 △ 1 △ 1 △ 2 △ 2 △ 2 △ 2 △ 1 △ 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 情報資産保護活動におけるICT環境改善計画の策定 情報資産の保護基準?保護方法の改善、情報漏洩保険の導入検討 ○ 4 ○ 4 ○ 5 ○ 4 ○ 4 △ 1 △ 1 ○ 2 ○ 2 ○ 2 △ 1 × 1 ○ 3 ○ 2 ○ 2 ○ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 1 ○ 1 ○ 5 ○ 3 ○ 5 ○ 3 情報資産保護活動におけるICT運用改善活動の策定 情報資産の棚卸 ○ 4 ○ 4 ○ 5 ○ 4 ○ 4 △ 1 △ 1 ○ 2 ○ 2 ○ 2 △ 1 × 1 ○ 3 ○ 2 ○ 2 ○ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 ○ 2 ○ 2 ○ 1 ○ 1 ○ 5 ○ 3 ○ 5 ○ 3 セキュア構築設計の企画立案 要件定義及基本設計におけるセキュアデザイン △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 ○ 2 △ 2 △ 1 × 1 △ 1 ○ 3 ○ 3 △ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 セキュア運用設計の企画立案 詳細設計及び運用改善におけるセキュアデザイン △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 △ 2 ○ 2 △ 1 × 1 △ 1 ○ 3 △ 2 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 多層防御に基づくセキュア設計管理 ネットワーク及びシステム構成に対するセキュアデザイン △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 ○ 2 ○ 2 △ 1 × 1 △ 1 ○ 3 ○ 3 ○ 3 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 システムセキュ リティ対応 システム構築及びシステム運用のセキュリティ対策分野に関するプロ ジェクトマネジメント及びプロジェクト運用支援 △ 1 ○ 5 △ 4 ○ 4 ○ 4 ○ 5 ○ 3 ○ 2 ○ 2 ○ 2 ○ 3 ○ 3 △ 1 ○ 2 ○ 2 ○ 3 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティ製品 品質管理 セキュリティ対策関連の製品?サービスに対する評価検証 △ 1 ○ 4 △ 4 ○ 5 ○ 5 △ 4 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 △ 1 ○ 2 ○ 2 ○ 2 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 運用テスト パッチ管理 脆弱性診断(導入時?運用時) パッチ適用時の評価テスト △ 1 ○ 4 △ 4 ○ 5 ○ 5 △ 4 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 △ 1 ○ 2 ○ 2 ○ 2 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 全システムに対するパッチ管理及び脆弱性診断に関する計画の企画立案 △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 ○ 3 ○ 3 ○ 2 ○ 2 △ 1 ○ 3 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティ対策関連の製品?サービスの選定及び実装支援 △ 1 ○ 4 △ 4 ○ 5 ○ 5 △ 4 △ 2 ○ 2 ○ 2 ○ 2 ○ 1 ○ 1 △ 1 ○ 3 ○ 3 ○ 3 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティ対策におけるシステム的機能の継続的改善活動 △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 2 ○ 3 ○ 3 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 ActiveDirectry管理 シングルサインオン管理 × 1 △ 1 ○ 5 ○ 4 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 1 × 1 △ 1 ○ 2 ○ 2 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 2 △ 2 △ 1 △ 1 × 1 × 1 × 1 × 1 システム、フォルダ等アクセス権管理 × 1 △ 1 ○ 5 ○ 4 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 1 × 1 ○ 2 ○ 2 ○ 2 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 2 △ 2 △ 1 △ 1 ○ 4 ○ 2 ○ 4 ○ 2 ユーザーサポート ユーザーサポート ユーザーサポート サポート 教育 社内のICTリテラシー向上のためのユーザー支援 リスク対応教育の企画?計画?実施 × 1 ○ 4 ○ 5 ○ 4 △ 1 ○ 4 △ 2 ○ 2 △ 2 △ 2 △ 1 × 1 ○ 2 ○ 2 △ 2 △ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 3 ○ 2 △ 1 △ 1 ○ 5 ○ 3 ○ 5 ○ 3 コマンダー  インシデント発生時の全社対応及びCISO等補佐 × 1 ○ 5 △ 1 △ 1 △ 1 ○ 5 ○ 3 △ 1 △ 1 △ 1 ○ 3 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 インシデントハンドリング?トリアージ  インシデント発生時の初動対応及び収束対応 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 3 △ 1 ○ 2 ○ 2 ○ 3 △ 2 × 1 ○ 2 △ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 脅威情報収集、対策情報収集  日常のインシデント情報収集及び社内共有活動 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 3 △ 1 ○ 3 ○ 3 ○ 3 △ 2 × 1 ○ 2 △ 2 △ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 フォレンジックス  機器の保全、被害拡大抑止、証跡保全活動 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 ○ 3 ○ 3 ○ 3 △ 1 × 1 △ 2 × 1 △ 2 × 1 × 1 × 1 × 1 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 トレーニング  インシデント対応能力向上に向けた教育の企画?計画?実施 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 ○ 3 ○ 3 ○ 3 △ 1 × 1 ○ 2 △ 2 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 ○ 3 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティオペレーション業務における導入?構築 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 △ 2 ○ 3 △ 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティオペレーション業務における運用管理 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 △ 2 ○ 3 △ 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティオペレーション業務におけるインシデント対応 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 △ 2 ○ 3 △ 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 OS管理 OS?プラットフォーム?ミドルウェア等に対するバージョン管理 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 ○ 3 ○ 3 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 アプリケーション管理 基幹システム等のアプリケーションに関するバージョン管理 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 ○ 3 ○ 3 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 クラウドサービス管理 クラウドサービス選定及び利用管理、セキュリティ対策 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 ○ 3 ○ 3 △ 2 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 DB機器管理 DB機器等に関するバージョン管理 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 △ 2 ○ 3 ○ 3 △ 2 ○ 3 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 DB構成管理 データマネジメントに必要なDB管理(データ特性に合わせたDB構成管 理) × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 △ 2 ○ 3 △ 2 △ 2 ○ 3 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 DBデータ セキュリティ DB設定及び格納されるデータに対するセキュリティ対策 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 3 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 △ 2 △ 2 ○ 3 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ファイアウォール設定 プロキシ設定 × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 △ 2 △ 2 ○ 3 ○ 3 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 WAF設定 (WEBサービスセキュリティ対策) × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 ○ 3 △ 2 ○ 3 ○ 3 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 通信監視(死活監視?パケット監視等) × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 △ 2 △ 2 ○ 3 △ 2 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 通信遮断管理(IPS/IDS機能管理) スレット?インテリジェンス(脅威情報)の対策活用 × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 △ 2 △ 2 ○ 3 △ 2 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ヘルプデスク ヘルプデスク ヘルプデスク ヘルプデスク インシデント発生時の問合せ窓口 端末?機器異常(インシデント発生以前)の相談窓口 × 1 △ 1 ○ 5 ○ 4 ○ 4 ○ 4 ○ 2 △ 2 ○ 2 ○ 2 ○ 2 △ 1 △ 1 ○ 2 ○ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 ○ 2 ○ 3 △ 1 △ 1 △ 4 △ 2 △ 4 △ 2 セキュリティ監査 情報セキュリティ監査、物理的セキュリティ監査 ○ 1 ○ 1 ○ 1 ○ 1 ○ 1 ○ 1 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 ○ 3 ○ 1 ○ 1 ○ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 5 ○ 3 ○ 4 ○ 2 ○ 4 ○ 2 システム監査 システム監査 ○ 1 ○ 1 ○ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 ○ 3 ○ 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 5 ○ 3 △ 4 △ 2 △ 4 △ 2 取引先選定 △ 1 △ 1 △ 4 ○ 4 ○ 4 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 製品?サービス調達 △ 1 △ 1 △ 4 ○ 4 ○ 4 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 産業横断 人材定義リファレンス ~機能と業務に基づくセキュリティ人材定義~ 機能分化プロセス 情報システム部門における組織体の役割分化プロセス例 スキルセット 会社 / 部門 部門 全社 / 部門 監査責任者 監査担当 【(ICT分野における)要求知識】○:必須、△:あると良い、×:なくても良い / 【業務区分】5:業務責任を負う 4:業務責任者を支援?補佐する 3:業務を担当する 2:業務担当者を支援?補佐する 1:業務内容を理解する 情報システム部門におけるサイバーセキュリティ機能を担う役割(担当) 管理職 セキュリティ担当職 担当職 情報システム部門以外のセキュリティ担当職 監査?個人情報保護サイバーセキュリティに関する機能定義 共通項目 システム企 画担当 システム 部門責任者 サイバーセ キュリティ 統括(室 等) セキュリ ティ設計担 当 システム 管理者 ネットワー ク 管理者 サイバーセ キュリティ 事件?事故 担当 ISMS担当 CSIRT 責任者 全社 部門 部門 / システム 部門 / システム 部門 部門 部門 部門 部門 会社 会社 基幹システ ム構築担当 基幹システ ム運用担当 WEBサービ ス担当 会社 / 部門 会社 / 部門 会社 部門 会社 特定個人情 報取扱責任 者 部門 / システム 部門 / システム 個人情報取 扱責任者 DB担当 ネットワー ク担当 サポート 教育担当 個人情報取 扱担当 ヘルプデス ク担当 特定個人情 報取扱担当 会社 システム運用 情報システム セキュリティ 調達管理 購買 調達 購買 調達 購買 調達 システム監査 システム監査 システム監査 権限管理 権限管理 権限管理 ID管理 アクセス権管理 情報セキュリティ マネジメント 基幹システム構築 システム構築 基幹システム構築 IT企画 IT戦略 ICT企画 (個別IT企画) システム企画 セキュリティ 実装計画 セキュリティ対策 ディザスタリカバリ CSIRT 基幹システム運用 データベース管理 ネットワーク管理 通信環境管理 通信監視 基幹システム運用 インフラ環境運用 インフラ運用 SOC 基幹システム運用 セキュリティ対応 インシデント対応 セキュリティ対策 (サイバーセキュリティ対 応) 基幹システム インフラ 構築?実装 セキュリティ対策 導入?開発計画 インフラ環境構築 インフラ環境構築 セキュリティ 機能評価/改善 インフラ担 当 サーバ担当 構築系サイ バーセキュ リティ担当 主な機能概要 セキュリティ機能定義 最終報告 サイバーセキュリティ対策 機能を実現する業務(例) CISO CRO CIO等 SOC担当 部門 / システム 部門 / システム 部門 / システム 部門 / システム 部門 / システム 部門 / システム 部門 / システム 全社 業務アプリ ケーション 担当 運用系サイ バーセキュ リティ担当 CSIRT担当

More Related Content

教育侧から见たセキュリティ人材教育の「明日はどっちだ」

  • 1. n? f g _ _ w k R J RC 6V : FV S O V iv
  • 2. v s ? c d e ? n? l ? _ c p wd ) e ? n? r c ? c wdt ujt uje
  • 3. c ? j c j ? _ d e j d e_ d e ? s fskjk o j g jk j ? ( ( v d e ov j
  • 5. ?
  • 6. ?
  • 12. “ f5 -g 0 ( c 5 - 2: f g K / 7 - ( . n?d i e
  • 13. Y 2: f g j f g c v Y p pi d r we 2: o j 85 lp” y d we C Y c o d e bvj oi w o k n w j js j ji r
  • 14. o p k ? _ ? ( ( v d we ? 3 A J c a f o d eg ? N c ? p v w
  • 16. 4 ( - N /- N 0 TTT N F IN K / ., NC
  • 17. 2942 2:3 N0 VA O O J O IN O U ( , / 1 9 N O 5 F 9 O NC 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 要求 知識 業務 区分 全体統括管理 サイバーセキュリティ 統括 サイバーセキュリティ対策に関する全社的統括 ○ 5 ○ 4 ○ 4 × 1 × 1 ○ 4 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 4 △ 1 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 △ 1 × 1 × 1 × 1 × 1 × 1 事業戦略 中期計画 コンプライアンス、ガバナンス及びリスクマネジメントの観点に基づく セキュリティ対策 ○ 4 ○ 4 ○ 5 △ 4 △ 4 ○ 4 × 1 ○ 2 × 1 × 1 × 1 × × 1 ○ 3 △ 2 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 △ 4 △ 2 △ 4 △ 2 年次計画 セキュリティ対策に係る実施計画の企画立案 規程?ルールの策定 ○ 4 ○ 4 ○ 5 △ 4 △ 4 ○ 4 × 1 ○ 2 × 1 × 1 × 1 × 1 ○ 1 ○ 3 △ 2 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 ○ 5 ○ 3 ○ 5 ○ 3 各事業に対するIT導入?構築運用改善計画の企画立案 ガイドライン?マニュアルの策定 ○ 4 ○ 4 ○ 5 △ 4 △ 4 △ 1 × 1 △ 1 ○ 2 ○ 2 × 1 × 1 △ 1 ○ 3 △ 3 △ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 ライセンス管理を踏まえた、リプレース計画の企画立案 固定資産管理?ソフトウェア会計管理 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 △ 1 ○ 2 ○ 2 × 1 × 1 △ 1 ○ 3 △ 3 △ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 ユーザビリティの観点に基づく機能改善?実装計画の企画立案 エンドポイント及びUIに関するセキュリティ機能改善計画の策定 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 ○ 2 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 3 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 システムセキュリティの観点に基づく機能改善?実装計画の企画立案 システム構成に関するセキュリティ機能改善計画の策定 ○ 4 ○ 4 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 ○ 2 ○ 2 × 1 × 1 ○ 2 ○ 3 ○ 3 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 事業継続 IT-BCP ICT環境における事業継続計画の策定 サイバーセキュリティ保険の導入検討 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 △ 1 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 2 ○ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 災害対策(DR)に関するICT環境改善計画の策定 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 △ 1 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 2 ○ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 災害対策及び災害発生時に関する稼働計画の策定 ○ 4 △ 1 ○ 5 △ 4 △ 4 △ 1 × 1 ○ 2 △ 1 △ 1 × 1 × 1 ○ 2 ○ 3 ○ 2 ○ 2 △ 1 △ 1 △ 2 △ 2 △ 2 △ 2 △ 1 △ 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 情報資産保護活動におけるICT環境改善計画の策定 情報資産の保護基準?保護方法の改善、情報漏洩保険の導入検討 ○ 4 ○ 4 ○ 5 ○ 4 ○ 4 △ 1 △ 1 ○ 2 ○ 2 ○ 2 △ 1 × 1 ○ 3 ○ 2 ○ 2 ○ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 1 ○ 1 ○ 5 ○ 3 ○ 5 ○ 3 情報資産保護活動におけるICT運用改善活動の策定 情報資産の棚卸 ○ 4 ○ 4 ○ 5 ○ 4 ○ 4 △ 1 △ 1 ○ 2 ○ 2 ○ 2 △ 1 × 1 ○ 3 ○ 2 ○ 2 ○ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 ○ 2 ○ 2 ○ 1 ○ 1 ○ 5 ○ 3 ○ 5 ○ 3 セキュア構築設計の企画立案 要件定義及基本設計におけるセキュアデザイン △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 ○ 2 △ 2 △ 1 × 1 △ 1 ○ 3 ○ 3 △ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 セキュア運用設計の企画立案 詳細設計及び運用改善におけるセキュアデザイン △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 △ 2 ○ 2 △ 1 × 1 △ 1 ○ 3 △ 2 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 多層防御に基づくセキュア設計管理 ネットワーク及びシステム構成に対するセキュアデザイン △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 ○ 2 ○ 2 △ 1 × 1 △ 1 ○ 3 ○ 3 ○ 3 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 システムセキュ リティ対応 システム構築及びシステム運用のセキュリティ対策分野に関するプロ ジェクトマネジメント及びプロジェクト運用支援 △ 1 ○ 5 △ 4 ○ 4 ○ 4 ○ 5 ○ 3 ○ 2 ○ 2 ○ 2 ○ 3 ○ 3 △ 1 ○ 2 ○ 2 ○ 3 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティ製品 品質管理 セキュリティ対策関連の製品?サービスに対する評価検証 △ 1 ○ 4 △ 4 ○ 5 ○ 5 △ 4 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 △ 1 ○ 2 ○ 2 ○ 2 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 運用テスト パッチ管理 脆弱性診断(導入時?運用時) パッチ適用時の評価テスト △ 1 ○ 4 △ 4 ○ 5 ○ 5 △ 4 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 △ 1 ○ 2 ○ 2 ○ 2 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 全システムに対するパッチ管理及び脆弱性診断に関する計画の企画立案 △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 △ 2 ○ 3 ○ 3 ○ 3 ○ 2 ○ 2 △ 1 ○ 3 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティ対策関連の製品?サービスの選定及び実装支援 △ 1 ○ 4 △ 4 ○ 5 ○ 5 △ 4 △ 2 ○ 2 ○ 2 ○ 2 ○ 1 ○ 1 △ 1 ○ 3 ○ 3 ○ 3 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティ対策におけるシステム的機能の継続的改善活動 △ 1 ○ 4 △ 4 ○ 5 ○ 5 ○ 4 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 3 ○ 2 ○ 3 ○ 3 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 ActiveDirectry管理 シングルサインオン管理 × 1 △ 1 ○ 5 ○ 4 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 1 × 1 △ 1 ○ 2 ○ 2 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 2 △ 2 △ 1 △ 1 × 1 × 1 × 1 × 1 システム、フォルダ等アクセス権管理 × 1 △ 1 ○ 5 ○ 4 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 1 × 1 ○ 2 ○ 2 ○ 2 ○ 3 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 2 △ 2 △ 1 △ 1 ○ 4 ○ 2 ○ 4 ○ 2 ユーザーサポート ユーザーサポート ユーザーサポート サポート 教育 社内のICTリテラシー向上のためのユーザー支援 リスク対応教育の企画?計画?実施 × 1 ○ 4 ○ 5 ○ 4 △ 1 ○ 4 △ 2 ○ 2 △ 2 △ 2 △ 1 × 1 ○ 2 ○ 2 △ 2 △ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 3 ○ 2 △ 1 △ 1 ○ 5 ○ 3 ○ 5 ○ 3 コマンダー  インシデント発生時の全社対応及びCISO等補佐 × 1 ○ 5 △ 1 △ 1 △ 1 ○ 5 ○ 3 △ 1 △ 1 △ 1 ○ 3 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 インシデントハンドリング?トリアージ  インシデント発生時の初動対応及び収束対応 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 3 △ 1 ○ 2 ○ 2 ○ 3 △ 2 × 1 ○ 2 △ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 脅威情報収集、対策情報収集  日常のインシデント情報収集及び社内共有活動 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 3 △ 1 ○ 3 ○ 3 ○ 3 △ 2 × 1 ○ 2 △ 2 △ 2 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 フォレンジックス  機器の保全、被害拡大抑止、証跡保全活動 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 ○ 3 ○ 3 ○ 3 △ 1 × 1 △ 2 × 1 △ 2 × 1 × 1 × 1 × 1 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 トレーニング  インシデント対応能力向上に向けた教育の企画?計画?実施 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 ○ 3 ○ 3 ○ 3 △ 1 × 1 ○ 2 △ 2 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 ○ 3 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティオペレーション業務における導入?構築 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 △ 2 ○ 3 △ 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティオペレーション業務における運用管理 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 △ 2 ○ 3 △ 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 セキュリティオペレーション業務におけるインシデント対応 × 1 ○ 4 △ 1 △ 1 △ 1 ○ 5 ○ 2 △ 1 △ 2 ○ 3 △ 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 OS管理 OS?プラットフォーム?ミドルウェア等に対するバージョン管理 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 ○ 3 ○ 3 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 アプリケーション管理 基幹システム等のアプリケーションに関するバージョン管理 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 ○ 3 ○ 3 △ 2 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 クラウドサービス管理 クラウドサービス選定及び利用管理、セキュリティ対策 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 ○ 3 ○ 3 △ 2 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 DB機器管理 DB機器等に関するバージョン管理 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 △ 2 ○ 3 ○ 3 △ 2 ○ 3 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 DB構成管理 データマネジメントに必要なDB管理(データ特性に合わせたDB構成管 理) × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 △ 2 ○ 3 △ 2 △ 2 ○ 3 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 DBデータ セキュリティ DB設定及び格納されるデータに対するセキュリティ対策 × 1 △ 1 △ 1 ○ 5 × 1 △ 1 △ 1 ○ 3 △ 2 △ 2 △ 1 △ 1 × 1 × 1 △ 2 △ 2 ○ 3 ○ 3 △ 2 △ 2 ○ 3 △ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ファイアウォール設定 プロキシ設定 × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 △ 2 △ 2 ○ 3 ○ 3 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 WAF設定 (WEBサービスセキュリティ対策) × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 ○ 3 △ 2 ○ 3 ○ 3 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 通信監視(死活監視?パケット監視等) × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 △ 2 △ 2 ○ 3 △ 2 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 通信遮断管理(IPS/IDS機能管理) スレット?インテリジェンス(脅威情報)の対策活用 × 1 △ 1 △ 1 × 1 ○ 5 △ 1 △ 1 ○ 2 △ 2 △ 2 △ 1 ○ 2 × 1 × 1 △ 2 △ 2 △ 2 △ 2 ○ 3 △ 2 × 1 ○ 3 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ヘルプデスク ヘルプデスク ヘルプデスク ヘルプデスク インシデント発生時の問合せ窓口 端末?機器異常(インシデント発生以前)の相談窓口 × 1 △ 1 ○ 5 ○ 4 ○ 4 ○ 4 ○ 2 △ 2 ○ 2 ○ 2 ○ 2 △ 1 △ 1 ○ 2 ○ 2 ○ 2 × 1 × 1 × 1 × 1 × 1 × 1 ○ 2 ○ 3 △ 1 △ 1 △ 4 △ 2 △ 4 △ 2 セキュリティ監査 情報セキュリティ監査、物理的セキュリティ監査 ○ 1 ○ 1 ○ 1 ○ 1 ○ 1 ○ 1 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 ○ 3 ○ 1 ○ 1 ○ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 ○ 5 ○ 3 ○ 4 ○ 2 ○ 4 ○ 2 システム監査 システム監査 ○ 1 ○ 1 ○ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 ○ 3 ○ 1 ○ 1 ○ 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 × 1 ○ 5 ○ 3 △ 4 △ 2 △ 4 △ 2 取引先選定 △ 1 △ 1 △ 4 ○ 4 ○ 4 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 製品?サービス調達 △ 1 △ 1 △ 4 ○ 4 ○ 4 △ 1 △ 1 △ 1 △ 1 △ 1 △ 1 × 1 △ 1 ○ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 △ 2 × 1 × 1 △ 1 △ 1 × 1 × 1 × 1 × 1 産業横断 人材定義リファレンス ~機能と業務に基づくセキュリティ人材定義~ 機能分化プロセス 情報システム部門における組織体の役割分化プロセス例 スキルセット 会社 / 部門 部門 全社 / 部門 監査責任者 監査担当 【(ICT分野における)要求知識】○:必須、△:あると良い、×:なくても良い / 【業務区分】5:業務責任を負う 4:業務責任者を支援?補佐する 3:業務を担当する 2:業務担当者を支援?補佐する 1:業務内容を理解する 情報システム部門におけるサイバーセキュリティ機能を担う役割(担当) 管理職 セキュリティ担当職 担当職 情報システム部門以外のセキュリティ担当職 監査?個人情報保護サイバーセキュリティに関する機能定義 共通項目 システム企 画担当 システム 部門責任者 サイバーセ キュリティ 統括(室 等) セキュリ ティ設計担 当 システム 管理者 ネットワー ク 管理者 サイバーセ キュリティ 事件?事故 担当 ISMS担当 CSIRT 責任者 全社 部門 部門 / システム 部門 / システム 部門 部門 部門 部門 部門 会社 会社 基幹システ ム構築担当 基幹システ ム運用担当 WEBサービ ス担当 会社 / 部門 会社 / 部門 会社 部門 会社 特定個人情 報取扱責任 者 部門 / システム 部門 / システム 個人情報取 扱責任者 DB担当 ネットワー ク担当 サポート 教育担当 個人情報取 扱担当 ヘルプデス ク担当 特定個人情 報取扱担当 会社 システム運用 情報システム セキュリティ 調達管理 購買 調達 購買 調達 購買 調達 システム監査 システム監査 システム監査 権限管理 権限管理 権限管理 ID管理 アクセス権管理 情報セキュリティ マネジメント 基幹システム構築 システム構築 基幹システム構築 IT企画 IT戦略 ICT企画 (個別IT企画) システム企画 セキュリティ 実装計画 セキュリティ対策 ディザスタリカバリ CSIRT 基幹システム運用 データベース管理 ネットワーク管理 通信環境管理 通信監視 基幹システム運用 インフラ環境運用 インフラ運用 SOC 基幹システム運用 セキュリティ対応 インシデント対応 セキュリティ対策 (サイバーセキュリティ対 応) 基幹システム インフラ 構築?実装 セキュリティ対策 導入?開発計画 インフラ環境構築 インフラ環境構築 セキュリティ 機能評価/改善 インフラ担 当 サーバ担当 構築系サイ バーセキュ リティ担当 主な機能概要 セキュリティ機能定義 最終報告 サイバーセキュリティ対策 機能を実現する業務(例) CISO CRO CIO等 SOC担当 部門 / システム 部門 / システム 部門 / システム 部門 / システム 部門 / システム 部門 / システム 部門 / システム 全社 業務アプリ ケーション 担当 運用系サイ バーセキュ リティ担当 CSIRT担当