セキュリティ成熟度モデル(その1) ~セキュリティ成熟度モデルの動向~

ソフトウェアの開発においては、米カーネギーメロン大学のソフトウェア工学研究所(SEI)が開発したCMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と呼ばれるプロセスの成熟度モデルがある。

セキュリティに関して、セキュリティのマネジメント基準、サイバーセキュリティ対策のガイドライン、さらにセキュリティの監査基準などが開発され、公開されている。最近、セキュリティに関する自己評価するためのガイドラインとして、セキュリティマネジメントの成熟度、ソフトウェアのセキュリティ成熟度、セキュリティ対応組織の成熟度など、セキュリティ成熟度に関する議論が行われ各種資料が公開されている。

本号では、セキュリティ成熟度の動向を解説する。はじめに、成熟度の動向に関する概要を表1に示す。ただし、成熟度の分類方法については、筆者が考えた分類であり、セキュリティ成熟度を網羅的に選定できていない可能性がある。

表1 セキュリティ成熟度の概要

1. セキュリティマネジメントの成熟度

1.1 C2M2

(1)C2M2

米国エネルギー省(DOE: Department of Energy)が電力業界向けのセキュリティ能力成熟度モデル( ES-C2M2: Electricity Subsector Cybersecurity Capability Maturity Model)(後述)のバージョン1.0(2012年5月)を公開した。米国エネルギー省は、ES-C2M2もとに、電力特有の部分を除いてサイバーセキュリティ能力成熟度モデルC2M2*1を開発し、C2M2のバージョン1.1を2014年2月に、バージョン2.0を2019年6月に公開した。

C2M2は、リスクマネジメント、資産変更および構成管理など10の領域、領域ごとに39の目標、目標に対する計299の実施項目(プラクティス)により構成されており、プラクティスに対して成熟度(MIL: Maturity Indicator Level)が1~3レベルまで設定されている。

(2)ES-C2M2、ONG-C2M2、B-C2M2

米国エネルギー省が、国土安全保障省(DHS)と連携し、産業界、民間と協力して電力業界向けのサイバーセキュリティ能力成熟度モデル(ES-C2M2*2)を開発した。ES-C2M2のバージョン1.0を2012年5月、バージョン1.1を2014年2月に公開した。

ES-2M2は、リスクマネジメント、資産変更および構成管理など10の領域、領域ごとに37の目標、目標に対する計312の実施項目(プラクティス)により構成しあれており、プラクティスに対して成熟度(MIL: Maturity Indicator Level)が1~3まで設定されている。

ONG-C2M2(Oil and Natural Gas Subsector Cybersecurity Capability Maturity Model)は、米国エネルギー省がES-C2M2 バージョン1.0をもとに、石油および天然ガス業界向けのサイバーセキュリティ能力成熟度モデル(ONG-C2M2)として開発した。現在バージョン1.1*3(2014年2月)を公開した。

ONG-C2M2は、石油および天然ガスの業界に合うように、内容、関連団体などに関して加筆修正されたが、10の評価領域、37の目標、312の実施項目(プラクティス)は、ES-C2M2と同等の内容である。

B-C2M2(Buildings Cybersecurity Capability Maturity Model)は、米国エネルギー省の研究機関であるPNNL(Pacific Northwest National Laboratory))がES-C2M2をもとに建物管理に焦点を当て、ITシステムのライフサイクル全体で望ましいレベルのセキュリティを維持するために、特定の領域を識別するのを支援するように設計し、公開した。B-C2M2バージョン1.1も、内容、関連団体などに関して加筆修正されたが、10の評価領域、37の目標、312の実施項目(プラクティス)は、ES-C2M2と同等の内容である。B-C2M2は評価用のツールとして公開された*4

1.2 CMMC

CMMC(Cybersecurity Maturity Model Certification)*5は、米国国防省(DoD: Department of Defense)が検討を進めているサイバーセキュリティ成熟度モデルの認証である。

米国の国防においては、開発、調達などは世界中の機関や企業などとかかわりを持ち、機密情報の漏えいが米国の経済と国家の安全保障を脅かす可能性がある。米国国防省は、政府や外交・軍などの機密情報のような機密性ではないが公開や漏えいされると政府などに大きな影響がある情報を管理された非格付け情報(NIST SP800-171*6のCUI)として保護することを要求している。米国国防省は、サイバーセキュリティ対策として、利害関係者、大学関連の研究センター、業界と協力して、サイバーセキュリティ成熟度モデル認証(CMMC)を開発している。さらに、国防にかかわる世界中の機関や企業のCUIを保護する能力を評価しします。今後は、、認証プロセスも検討する予定である。

CMMCは、成熟度として5つのレベルが設定されている。2019年8 月に公開されたバージョン0.4では、実施項目(プラクティス)に関して、アクセスコントロールなどの18の領域、領域ごとに84の機能(Capability)により構成されており、その機能に対してレベルを分けて377の実施項目(プラクティス)が設定されている。また、成熟度を達成するためにプロセスに関しても18の領域に対して、レベルを分けて162のプロセスが設定された。

2019年11月に公開されたCMMCバージョン0.6*7では、プロセスに関してCybersecurity Governanceの領域が削除、17の領域が設定、機能(Capability)が40に集約され、実施項目(プラクティス)が219に設定された。ただし、レベル1から3までについて、SP800-171などとのマッピングは記載されているが、レベル4および5については検討中で、2020年1月に公開予定のバージョン1.0を待つことになる。

1.3 Cybersecurity Assessment Tool

米国連邦金融機関検査協議会(FFIEC: Federal Financial Institutions Examination Council)は、サイバー攻撃の脅威の拡大に対応するために、各金融機関のリスクを識別し、サイバーセキュリティの成熟度レベルを評価するためのアセスメントツール(Cybersecurity Assessment Tool)を2015年6月に公表し、2017年5月に更新版のアセスメントツール*8を公開した。

アセスメントツールは、固有リスクの識別とサイバーセキュリティの成熟度評価の2つのフェーズに分かれる。固有リスクの識別の評価は、「テクノロジーと接続タイプ」などの5つのカテゴリに分かれ、全部で39の質問項目が設定され、それぞれの質問項目に対して、5段階で評価を行う。サイバーセキュリティ成熟度の評価は、「サイバーリスク管理と監督」など5つの領域について全部で494の質問項目があり、「達成できている/いない/条件付き達成」を回答する。この2つのフェーズの回答から成熟度を評価する。この評価はExcelのツールとして公開された *9

1.4 IoT Security Maturity Model

IIC (Industrial Internet Consortium )は、2014年3月に設立された。産業界の製造の組み立て、テストおよびベストプラクティスを促進することにより、産業、インターネットの成長を加速するために必要な組織や技術を提供するコンソーシアムで、 メンバーには、小規模および大規模な組織の技術者やリーダー、研究者、大学、政府機関から構成されている。IICは、IT機器の事業者、産業用設備の運用者、ソフトウェアの開発者などを対象とした指針を「IoT Security Maturity Model : Practitioner's Guide*10」として2019年2月に公開した。IoT Security Maturity Modelは、現在の組織やシステムのセキュリティ成熟度を評価し、自社の IoT に必要なセキュリティ成熟度の目標レベルを設定するために利用される。

IoT Security Maturity Modelは、ガバナンス、有効化、強化の3つの領域に対して、それぞれ3つのサブ領域、18の実施項目(プラクティス)が設定されている。成熟度は1から4の4レベルで、各実施項目(プラクティス)を評価する。さらに、ケーススタディがあり、自社の達成度を比較することも可能である。

2. ソフトウェアのセキュリティ成熟度

2.1 SAMM

アプリケーションソフトウエアのセキュリティ向上に関する活動を展開するOWASP(Open Web Application Security Project)は、組織が直面する固有のリスクに応じたソフトウェアのセキュリティ対策のための戦略の策定・実施のためのフレームワークを、ソフトウェア保証成熟度モデル(SAMM: Software Assurance Maturity Model*11)として、2009年3月にバージョン1*12を公開し、2017年4月にバージョン1.5を公開した。

SAMMは、「ガバナンス」、「構築」、「検証」、「配備」の4つのビジネス機能があり、それぞれの機能ごとに3つのセキュリティ対策、計12のセキュリティ対策が設定されている。それぞれのセキュリティ対策ごとに、複数の実施項目が3段階のレベルで設定されている。その達成度をチェックすることにより、全体のセキュリティの成熟度スコアが作成されることになる。業界別のセキュリティ保証プログラムのロードマップが示されており、評価した結果をもとに改善活動の参考として利用できる。

2.2 BSIMM

BSIMM*13(Building Security In Maturity Model)は、セキュリティ開発の成熟度モデルであり、2008年に企業のソフトウェアセキュリティ対策(プラクティス)の調査を行い、各企業の対策状況を定量化するためのモデルと手法として設定された。このモデルの開発には、現在120社が参加して検討、調査を進め、バージョンアップを重ね、2018年11月にメジャーバージョン9(BSIMM9)を公開した。

BSIMM9では、ガバナンスなどの4つのドメイン、12のプラクティス、116のアクティビティを設定し、そのアクティビティが1~3段階にレベル付けされている。それぞれのアクティビティが達成できているかを評価することで、セキュリティ開発の成熟度が評価できる。また、業界別に調査した成熟度が公開されているため、自組織との比較評価ができる。

3.セキュリティの対応組織の成熟度

3.1 SIM3

SIM3(Security Incident Management Maturity Model*14)は、EUを中心に利用されているセキュリティインシデントのマネジメントの成熟度モデルであり、Open CSIRT Foundationが2019年5月にバージョン1を公開した。このモデルは、CSIRT(Computer Security Incident Response Team)を構築、運用するための指針となるものである。

SIM3では、組織、人材、ツール、プロセスの4つのカテゴリ、さらに44の評価項目が設定されている。成熟度は、1から4のレベルを定義し、対応していないレベル0を含めて5段階で評価を行う。

EUのネットワーク情報セキュリティ機関であるENISA(European Network and Information Security Agency)は、SIM3のモデルをもとに自己評価するためのツール(CSIRT Maturity - Self-assessment Tool*15)を公開した。

3.2 ISOMM

ISOMM(ISOG-J SOC/CSIRT Maturity Model)は、日本ネットワークセキュリティ協議会(JNSA)の部会であるISOG-J(日本セキュリティオペレーション事業者協議会)が2018年10月に公開したセキュリティ対応組織の成熟度を自己評価するチェックシートである。セキュリティ対応組織はCSIRTやSOC(Security Operation Center)などがあり、設置している企業によって組織形態が異なるために、組織のセキュリティ対応組織に求められる要件をまとめ成熟度を定量化し、可視化するためのものである。

ISOMMでは、「セキュリティ対応組織運営」などの9の機能、その機能に対して54の役割が定義されている。成熟度は、対象外を含めて6のレベルで評価される。ISOMMの自己評価のチェックシートは、ISOG-Jのホームページ*16で公開されている。

3.3 プロダクト脆弱性対策・対応成熟度シート

世界中のコンピュータセキュリティインシデントに対応する企業・組織のフォーラムでインシデント防止を推進する最も権威ある組織であるFIRST(Forum of Incident Response and Security Teams1)が、製品セキュリティインシデント対応チーム(PSIRT)のフレームワーク「Product Security Incident Response Team(PSIRT) Services Framework Version1.0*17」を2018年夏に公開した。このフレームワークは、ステークフォルダマネジメントなど6つのサービスエリアサービスエリアに対し、計27のサービスが設定されている。それぞれのサービスには、計84の機能が定義され、それぞれの定義についてはさらにサブ機能が定義されている。

一般社団法人コンピュータソフトウェア協会は、「PSIRT Service Framework Version 1.0 Draft 日本語抄訳*18」をもとに、PSIRTの設立を進めている組織やPSIRT業務の品質の向上を目的として「プロダクト脆弱性対策・対応成熟度シート」を作成し、2019年4月に公開した。本シートは、6のサービスエリアのサービスごとにレベル0から5までの6段階の成熟度が定義されている。

本号では、セキュリティの成熟度の動向についてまとめました。次号では、C2M2について解説します。

注釈

Writer Profile

セキュリティ事業本部
セキュリティコンサルティング事業部 コンサルティングサービス担当
エグゼクティブコンサルタント
サイバーセキュリティ戦略本部重要インフラ専門調査会 委員
松田 栄之



セキュリティ成熟度モデル(その1) ~セキュリティ成熟度モデルの動向~