こうしてCSIRTを構築した後には、「本当にこれで大丈夫なのか」という疑問を解消しなければならない。そこでCSIRTの成熟度を測るツールとして、欧州を中心に活用されている評価モデル「SIM3(Security Incident Management Maturity Model)」が役に立つ。
SIM3では「組織」「要因」「ツール」「プロセス」の4つの側面から5段階でCSIRTを評価できる。この尺度はNational CSIRT(※)向けに作られたものであるため、一般企業には過剰な要求もあるそうだ。そのため、「全てを満たすことを目標にするのではなく、CSIRT活動の改善材料として用いることが望ましい」(阿部氏)という。
※National CSIRT……国を代表して、国際的な情報連携を行うCSIRT。日本ではJPCERT/CCがそれに当たる。
SIM3の要求項目は、“インシデントを発生させないため”に作られている。その上で、インシデントが発生した際には“被害を最小限にとどめる”ことがCSIRTに求められるのだ。阿部氏は各項目を分かりやすく読み解いた上で、次のような要求が含まれると説明する。
「こうした項目をチャートに並べてみると、National CSIRTですらまだまだ評価が低いことが分かります。実現が難しい項目もあるので、あくまで評価項目の一つとして活用してみてください」(阿部氏)
Copyright © ITmedia, Inc. All Rights Reserved.