「え、ウチのCSIRTってレベル低すぎ……？」を確認する方法：ITmedia エンタープライズ セキュリティセミナーレポート（2/3 ページ）

[廣瀬治郎，ITmedia]

まずは現状の把握から　「SIM3」でCSIRTを評価してみよう

　こうしてCSIRTを構築した後には、「本当にこれで大丈夫なのか」という疑問を解消しなければならない。そこでCSIRTの成熟度を測るツールとして、欧州を中心に活用されている評価モデル「SIM3（Security Incident Management Maturity Model）」が役に立つ。

　SIM3では「組織」「要因」「ツール」「プロセス」の4つの側面から5段階でCSIRTを評価できる。この尺度はNational CSIRT（※）向けに作られたものであるため、一般企業には過剰な要求もあるそうだ。そのため、「全てを満たすことを目標にするのではなく、CSIRT活動の改善材料として用いることが望ましい」（阿部氏）という。

※National CSIRT……国を代表して、国際的な情報連携を行うCSIRT。日本ではJPCERT/CCがそれに当たる。

　SIM3の要求項目は、“インシデントを発生させないため”に作られている。その上で、インシデントが発生した際には“被害を最小限にとどめる”ことがCSIRTに求められるのだ。阿部氏は各項目を分かりやすく読み解いた上で、次のような要求が含まれると説明する。

• 「CSIRTにかけられるお金と責任」を確認し、「穴が発生しないように既存組織との役割分担」を行って、「倫理規定、規約、ルール作り」を実践すること
• CSIRTを「改善」して「判断を早める」こと
• 「情報収集、提供」と「予防と検知」の仕組みを整備し、「初動対応と分析力を向上」して、「作業環境の冗長化」を実施すること
• 「インシデント対応力を向上」させること

　「こうした項目をチャートに並べてみると、National CSIRTですらまだまだ評価が低いことが分かります。実現が難しい項目もあるので、あくまで評価項目の一つとして活用してみてください」（阿部氏）

SIM3に含まれる要求項目の一例

SIM3に含まれる要求項目の一例。実現が難しい項目もあり、National CSIRTですらまだまだ評価が低いという