ニュース
» 2019年01月28日 08時00分 公開

ITmedia エンタープライズ セキュリティセミナーレポート:「え、ウチのCSIRTってレベル低すぎ……?」を確認する方法 (2/3)

[廣瀬治郎,ITmedia]

まずは現状の把握から 「SIM3」でCSIRTを評価してみよう

 こうしてCSIRTを構築した後には、「本当にこれで大丈夫なのか」という疑問を解消しなければならない。そこでCSIRTの成熟度を測るツールとして、欧州を中心に活用されている評価モデル「SIM3(Security Incident Management Maturity Model)」が役に立つ。

 SIM3では「組織」「要因」「ツール」「プロセス」の4つの側面から5段階でCSIRTを評価できる。この尺度はNational CSIRT(※)向けに作られたものであるため、一般企業には過剰な要求もあるそうだ。そのため、「全てを満たすことを目標にするのではなく、CSIRT活動の改善材料として用いることが望ましい」(阿部氏)という。

※National CSIRT……国を代表して、国際的な情報連携を行うCSIRT。日本ではJPCERT/CCがそれに当たる。

 SIM3の要求項目は、“インシデントを発生させないため”に作られている。その上で、インシデントが発生した際には“被害を最小限にとどめる”ことがCSIRTに求められるのだ。阿部氏は各項目を分かりやすく読み解いた上で、次のような要求が含まれると説明する。

  • 「CSIRTにかけられるお金と責任」を確認し、「穴が発生しないように既存組織との役割分担」を行って、「倫理規定、規約、ルール作り」を実践すること
  • CSIRTを「改善」して「判断を早める」こと
  • 「情報収集、提供」と「予防と検知」の仕組みを整備し、「初動対応と分析力を向上」して、「作業環境の冗長化」を実施すること
  • 「インシデント対応力を向上」させること

 「こうした項目をチャートに並べてみると、National CSIRTですらまだまだ評価が低いことが分かります。実現が難しい項目もあるので、あくまで評価項目の一つとして活用してみてください」(阿部氏)

photo SIM3に含まれる要求項目の一例
photo SIM3に含まれる要求項目の一例。実現が難しい項目もあり、National CSIRTですらまだまだ評価が低いという

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ