2019.10.10技術ブログ

CSIRTの強化を実現するための処方箋

自組織のCSIRT(※1)をどのように強化すべきか?という問いにどう答えればいいのか?そのヒントとして、既にEUでは活用され、今後日本でも本格的に活用が進むとみられるセキュリティインシデントマネジメントの成熟度モデルSIM3を紹介する。

CSIRTの強化が喫緊の課題

来年開催されるオリンピック・パラリンピックに向けたサイバーセキュリティ態勢の強化の一環として、CSIRTの強化が課題となっています。サイバーセキュリティ対処調整センターの構築をはじめとする官民あげてのさまざまな取り組みを受け、経営層からは「当社のCSIRTはこのままで大丈夫なのか?」「これまでにない大規模インシデントにも対応できるのか?」といった問合せを受けること増えてきました。また、予算や人材が限られている中、日々発生するインシデント対応に追われるCSIRTの担当者からは「十分に強化できていない」「どのように強化すべきか悩んでいる」などの相談も相次いで寄せられています。

SIM3の概要

これらの問い合わせや相談に応えるために役立つのが、ヨーロッパを中心に活用されているセキュリティインシデントマネジメントの成熟度モデルSIM3(Security Incident Management Maturity Model)(※2)です。EUのネットワーク情報セキュリティ機関であるENISA(※3)がEU各国のナショナルCSIRTの強化に活用するとともに、SIM3をベースにしたオンラインアセスメントツールを提供しています(※4)

SIM3では、Organization(組織)、Human(人材)、Tools(ツール)、Process(プロセス)の4つのカテゴリに分類される44個のパラメータに対して、レベル0からレベル4までの5段階で評価します。すべてのパラメータについて評価することで、自組織のCSIRTがどういう状況にあるのかを可視化できるだけでなく、関係者間でCSIRTに関する課題を共有することが容易になります。また、成熟度を5段階で定量的に把握することで、今後目指していくレベルに対する合意形成もしやすくなると考えます。

SIM3の評価の考え方

各パラメータをどのように評価していくかをみていきましょう。例えば、Organization(組織)のO-4 Responsibility(責任):CSIRTの責任は明確にされているか?というパラメータについて、レベルの判断基準は以下のように設定されています。

SIM3における成熟度の判断基準

図1:SIM3における成熟度の判断基準

O-4 Responsibilityは、CSIRTの活動内容や権限に関連する重要なパラメータであるため、レベル4を達成すべきと考えられています。しかし、すべてのパラメータに対してレベル4を達成することが求められているわけではありません。SIM3自体は、元々ナショナルCSIRTを想定して考えられたモデルであるため、民間企業のCSIRTではレベル4達成が困難なパラメータも多いのが実情です。実際、ENISAの成熟度評価メソドロジー(※5)でも、一部の項目はレベル1でもAdvancedレベルを達成できる(図2参照)とされています。

CSIRT Maturity Evaluation in 3 STEPS

図2:CSIRT Maturity Evaluation in 3 STEPS
【出典】ENISA Maturity Evaluation Methodology for CSIRTs Ver.2.0 09 APRIL 2019

レベル2達成は困難!?

多くのCSIRTでは規則やマニュアル等の文書が整備され、継続的改善がなされていることから、レベル2(記述している)以上を達成していると思われるかもしれません。しかし、文書を整備していてもレベル2以上を達成できていると言えない場合があります。例えば、マニュアルを目指すべきCSIRTをベースに作成され、実際のCSIRTの対応内容と乖離している場合です。この場合はレベル1(実施している)を達成しているとも言えず、レベル0とみなされます。おそらく、CSIRTを構築して文書を整備したものの、メンバーのリソースやスキル不足等の理由で十分に運用できていないという場合も多いのではないでしょうか。このような場合、SIM3を活用しながら、文書の記述内容と実際の対応状況との乖離の整理からはじめ、課題の特定→原因分析→対策実施を実施することがレベルアップには有効です。

終わりに

今後ますます増え続けるサイバー攻撃への対応には、CSIRTのさらなる強化が欠かせません。そのためにまずは現状把握が必要ですが、SIM3はCSIRTの現状を明確に可視化するのに非常に有効です。もちろん、可視化した結果に基づくレベルアップにも活用することができますので、今後の強化にSIM3を活用してはいかがでしょうか。NTTデータグループには複数名のCertified SIM3 Auditorが在籍しており、SIM3を活用したCSIRTの強化支援も可能ですので、CSIRTの強化に困った場合にはぜひご相談ください。

参考

(※1)CSIRT

「Computer Security Incident Response Team」の略であり、コンピュータセキュリティにかかるインシデントに対処するための組織を指す

(※2)SIM3(Security Incident Management Maturity Model)

https://opencsirt.org/maturity/sim3/

(※3)ENISA

「The European Union Agency for Cybersecurity」の略

(※4)CSIRT Maturity Self-assessment Tool

ENISAが提供するCSIRTの成熟度を自己診断するためのツール
https://www.enisa.europa.eu/topics/csirts-in-europe/csirt-capabilities/csirt-maturity/csirt-maturity-self-assessment-survey

(※5)ENISA Maturity Evaluation Methodology for CSIRTs

ENISAが発行するCSIRTの成熟度を評価するためのメソドロジー
https://www.enisa.europa.eu/publications/study-on-csirt-maturity-evaluation-process

お問い合わせ