海の向こうの“セキュリティ”

組織が「内部脅威管理チーム」を編成するときのポイントは? 米CISAのインフォグラフィックを解説 ほか

  • 山賀 正人

2026年3月10日 06:00

米CISA、インフォグラフィック「多分野にわたる内部脅威管理チームの編成」公開

 2026年1月、米サイバーセキュリティ・インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、以降CISA)はインフォグラフィック「多分野にわたる内部脅威管理チームの編成(Assembling a Multi-Disciplinary Insider Threat Management Team)」を公開しました。

 これは、CISAが重要インフラ事業者に対して内部脅威への断固たる(decisive)対策を講じるよう呼び掛ける中で、その取り組みを支援するために公開した資料です。想定している対象は重要インフラ事業者とSLTT(State=州、Local=地方、Tribal=部族、Territorial=準州)政府となっていますが、一般的な企業や組織にも役立つ内容となっています。

 このインフォグラフィックは、内部脅威とそれがもたらす潜在的な損害、そして組織の準備態勢と防御体制を強化するための内部脅威管理チームの構築に必要な手順について、重要インフラのステークホルダーの認識を高めることを目的としています。また、組織のさまざまな部門の人材で構成される包括的かつ総合的な多分野にわたるチームを編成するための指針であるとともに、進化する脆弱性に効果的に対処するためにチームを維持するための推奨事項も提示しています。

 今回公開されたインフォグラフィックはPDFで2ページですが、文字が非常に多く、インフォグラフィックとしては必ずしも「読みやすい」ものにはなっていません。そこで今回は、この内容の肝となる部分のみを簡単に紹介します。

 まず脅威管理チームを設置するメリットとして以下の4点を挙げています。

  • 組織の成熟と進化に合わせて、チームは対象範囲と能力の両面で拡大・調整が可能である。
  • リスク要因の特定、脅威の管理、将来的な懸念事項の軽減においては、個人よりもチームの方が優位な立場にある。
  • インシデント発生時、多分野にわたるチームは、個人では見逃してしまう可能性のある重要な詳細やパターンを認識するのに役立つ可能性がある。
  • チーム全体からの多様な視点は、より正確で包括的な脅威評価を生み出す傾向がある。

 次に、脅威管理チームにとって従業員からの信頼を得ることは重要であり、そのためにもチームの名前の付け方には慎重を期すようにとしています。具体的には、支援的性質を強調する名前が望ましく、その例として、インシデント管理チーム(Incident Management Team)やケース管理チーム(Case Management Team)などを挙げています。

 チームの構成と運営のポイントとして以下の5点を挙げています。

  • 脅威管理チームは経験豊富な専門家で構成されるべきである。チームメンバーは、誠実さ並びに組織とその従業員を守りたいとの意欲を重視すべきである。
  • チームにはリーダーを指名すべきである。チームは定期的に会合を開くことで、新たな動向を検討し、必要に応じて案件を管理すべきである。
  • チームは関連するトレーニングを受講すべきである。これには、脅威評価、調査の実施、記録の収集・使用・保持に関する関連法令、データプライバシー保護措置などが含まれるが、これらに限定されない。
  • チームは、案件を引き受ける際ではなく、チーム設立時に自らの評価限界を特定することが重要である。
  • チームは、外部からの支援、特に法執行機関と連携するための仕組みを整えるべきである。

 これらを踏まえ、脅威管理チームのメンバーとして想定される者として以下を挙げています。ただし、これらに限定されるものではありません。

内部脅威に関する専門家(Insider Threat Subject Matter Experts)

  • 内部脅威アナリスト(Insider Threat Analyst)
  • 人事部門(Human Resources)
  • 法務顧問(General Counsel)
  • 運営・管理部門(Operations and Administration)
  • 最高情報責任者(CIO)/情報セキュリティ最高責任者(CISO)
  • 最高セキュリティ責任者(CSO)

外部の支援(External Assistance)

  • 捜査当局または法執行官(Investigator or Law Enforcement Officer)
  • 外部リスクスクリーニング専門家(External Risk Screening Professional)
  • カウンセラー:医療またはメンタルヘルス(Counselors:Medical or Mental Health)

状況情報源(Contextual Sources)

  • 管理者・上司(Supervisor)
  • 同僚(Coworkers)

 さらに2ページ目では、チームの構築と運用のために「POEM」という4段階のフレームワークを提唱しています。

  • P=Plan(計画):組織が脅威管理チームをどのように活用するかを計画する
  • O=Organize(編成):組織のニーズに応じてチームメンバーを編成する
  • E=Execute(実行):チームの活用を通じて効果的な内部脅威軽減策を実行する
  • M=Maintain(維持):脅威管理チームの能力(capability)を高め、将来に向けて運用を改善するためにチームの存続可能性を維持する

 今回公開されたインフォグラフィックについては、実際に記載されている内容自体は良いのですが、インフォグラフィックとしてコンパクトにまとめようと2ページに強引に押し込めたかたちになってしまい、結果として、インフォグラフィックとは言い難い、文字ばかりで読みづらい体裁になってしまったのは非常に残念です。インフォグラフィックにこだわらず、冊子にすべきだったと思えてなりません。

URL
CISA(2026年1月28日)
CISA Urges Critical Infrastructure Organizations to Take Action Against Insider Threats
https://www.cisa.gov/news-events/news/cisa-urges-critical-infrastructure-organizations-take-action-against-insider-threats
CISA(2026年1月28日)
Assembling A Multi-Disciplinary Insider Threat Management Team
https://www.cisa.gov/resources-tools/resources/assembling-multi-disciplinary-insider-threat-management-team
CISA(2026年1月28日)
Assembling a Multi-Disciplinary Insider Threat Management Team
https://www.cisa.gov/sites/default/files/2026-01/Assembling%20a%20Multidisciplinary%20Insider%20Threat%20Management%20Team_508.pdf

英国「ソフトウェアセキュリティアンバサダー制度」開始

 本連載の2026年1月の記事で紹介した英国の「ソフトウェアセキュリティ実施基準(Software Security Code of Practice)」に関する続報です。

 英国政府は2026年1月15日(現地時間)、「ソフトウェアセキュリティアンバサダー制度(Software Security Ambassadors Scheme)」を発表しました。この制度に参加する企業や組織は「ソフトウェアセキュリティ実施基準」のアンバサダーとなり、同基準の認知度向上と採用促進に努め、実社会における成功事例やユースケースを紹介・情報交換することを公約します。

 公約としては以下の目標を「1年以内に」達成することとなっています。

全署名者

  • 自組織のソーシャルメディア、ウェブサイト、および可能な場合はNCSC[*1]/DSIT[*2]のイベントで「ソフトウェアセキュリティ実施基準」を宣伝する。
  • 以下に記される目標の達成に向けた取り組みと、組織およびサプライチェーンにおける「ソフトウェアセキュリティ実施基準」の実装において、実際の成功事例とユースケースを積極的に紹介するよう努める。
  • 発生事象や教訓を検証し、組織の実践と政府政策(適切な場合)の継続的改善に活かす。

ソフトウェアサプライヤー

  • 「ソフトウェアセキュリティ実施基準」の実装の責任を負う上級責任者(SRO:Senior Responsible Owner)を任命する。
  • 「ソフトウェアセキュリティ実施基準」の原則に準拠していることを証明するために、自己評価フォームまたは第三者検証を完了して公開する。
  • 関連するチームが安全なソフトウェア開発に必要なスキルと専門知識を習得し、適切な学習および開発の機会にアクセスできるようにするための対策を講じる。
  • [DSP[*3]/コンサルタントの場合]顧客と協力者に対して、「ソフトウェアセキュリティ実施基準」を採用し、共同で開発したソフトウェアに同基準の原則を組み込むように奨励する。

ソフトウェア購入者

  • ソフトウェアサプライヤーのサプライヤー管理に関する調達ポリシーと手順に「ソフトウェアセキュリティ実施基準」を組み込む。

専門家アドバイザー

  • アドバイザリ/教育サービスおよびその他のビジネスを通じて「ソフトウェアセキュリティ実施基準」を推進する。
  • 該当する場合は、関連するパートナー組織の要件に「ソフトウェアセキュリティ実施基準」を組み込む。

[*1]…… NCSC=National Cyber Security Centre(国家サイバーセキュリティセンター)
[*2]…… DSIT=Department for Science, Innovation and Technology(科学・イノベーション・技術省)
[*3]…… DSP=Digital Service Provider

 すでに参加している企業や組織は以下の通り(本稿執筆時点)。

  • Department for Science, Innovation and Technology
  • National Cyber Security Centre
  • Accenture
  • Cisco
  • Hexiosec
  • ISACA
  • ISC2
  • Lloyds Banking Group
  • NCC Group
  • Nexor
  • Palo Alto Networks
  • Sage
  • Salus
  • Santander
  • Zaizi

 「ソフトウェアセキュリティ実施基準」はあくまで自主的な基準ですが、英国政府はこれをベースにした認証制度の構築を検討しているとされており、今回のアンバサダー制度はそれに向けた活動の一環と考えられます。英国の一連の取り組みは、EUはもちろん、日本にも少なからず影響を与える可能性がありますので、今後の動向にも注目する必要があるでしょう。

URL
GOV.UK Policy paper(2026年1月15日)
Software Security Ambassadors Scheme
https://www.gov.uk/government/publications/software-security-ambassadors-scheme/software-security-ambassadors-scheme
まるちゃんの情報セキュリティ気まぐれ日記(2026年2月3日)
英国 ソフトウェアセキュリティ大使制度 (2026.01.15) でソフトウェアセキュリティ実践規範の推進
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2026/02/post-1c30cb.html
海の向こうの“セキュリティ”(2026年1月14日)
自主的な「ソフトウェアセキュリティ実施基準」で示された14の原則とは。英国政府が策定
https://internet.watch.impress.co.jp/docs/column/security/2076347.html
山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。