CSIRTの成熟度を測る「SIM3」 世界にたった6人しかいない“権威”の素顔

NTTアドバンステクノロジ 小村誠一

CSIRTを設置する企業が増えるなか、「なんちゃってCSIRT」も増加している。

なんちゃってCSIRTの特徴は、「何も起きないから何もしないし、何の見直しもしていない」「メンバーとの連絡方法を更新しておらず、連絡ができない」など。なんちゃってCSIRTのままでは、重大なインシデントは乗り切れないし、社内でCSIRTの有用性の認識や他のCSIRTから信頼を得ることは難しい。

そこで近年、関心が高まっているのが、CSIRTの成熟度を評価するモデル「SIM3」だ。SIM3は、自組織のCSIRTの現状を点検し、継続的に改善していくための評価軸を提供する。

<トラスト(信頼)>あるデジタル社会に向けて奮闘する、NTTグループのセキュリティのプロフェッショナルを紹介する本連載。第8回に登場するのは、このSIM3のエキスパートである。世界でわずか6人しかいないSIM3の権威、NTTアドバンステクノロジの小村誠一を紹介する。

男はその夜、190cmを超える大男と一緒に、銭湯の湯船に浸かっていた。訪れた国のローカルなお風呂に入るのが趣味だというオランダ人の酔狂なリクエストに応えて、滞在するホテルにほど近い銭湯へ連れてきたのだ。「ネイティブアメリカンの小屋の中にあるサウナに入ったことがあるんだ」というのが、このオランダ人の自慢の1つだった。

酔狂さでは、実は日本人のほうも負けてはいなかった。国内外のセキュリティ専門家たちに「大のスイーツ好き」として知られる。参加するセキュリティカンファレンスにはお気に入りのスイーツを持ち込んで配り、スイーツ談義を交わす。この大男には、後に自宅へ招かれ、オランダ家庭で親しまれている手作りパンケーキを振舞ってもらった。

日本人の名前は小村誠一。NTTグループ全体を支援するCSIRT「NTT-CERT」などを経て、現在はNTTアドバンステクノロジ(NTT-AT)に勤務する。普段はセキュリティプロフェッショナル人材の育成や、顧客向けのセキュリティ事業に従事。重度なセキュリティインシデントが発生した際には、NTT-ATの情報セキュリティ推進部配下のCSIRT「AT-CSIRT」の中核メンバーとして事態収拾に動く。

一方、オランダ人の名前は、ドン・スティクフールト(Don Stikvoort)。CSIRTの構築・運用ノウハウをまとめたCSIRTのバイブル『CSIRTのためのハンドブック』の共著者であり、CSIRTの名付け親の1人でもあり、そしてCSIRTの成熟度評価モデル「SIM3(Security Incident Management Maturity Model)」の生みの親でもあるCSIRTコミュニティの超大物、その人である。

NTTアドバンステクノロジ 小村誠一

「なんちゃってCSIRT」になっていませんか?

出会いは、オランダで2015年4月に開催された国際カンファレンスだった。

聴衆の1人として、ドンの講演を聞いた小村は、このときSIM3を初めて知り、衝撃を受ける。

SIM3と出会う以前、「私は自身の経験や他社の事例などをもとに、CSIRTのマネジメントや実際のインシデント対応を行っていました」と小村は言う。

自組織のCSIRTは本当にきちんと機能しているのか――。それを客観的に評価する術を持たなければ、「なんちゃってCSIRT」になっている可能性が拭い切れない。

SIM3は、CSIRTのマネジメントを「組織(O:Organization)」「人材(H:Human)」「ツール(T:Tools)」「プロセス(P:Processes)」の4つの象限(カテゴリ)に整理し、合計44の測定項目(パラメータ)でチェックすることで、CSIRTの改善に活かしていくための評価手法である。

SIM3の4象限

では、SIM3では、CSIRTの成熟度をどのように評価するのか。まずは、どういったパラメータが用意されているのかを見ていこう。

SIM3のパラメータは、組織(O)のパラメータの1つめであれば「O-1」という形式で項番が付けられている。例えばO-3「権限」は、CSIRTが目的や役割を達成するための権限を有しているかを評価するパラメータだ。

重大なインシデントが発生した際、経営層などの上位マネジメントへ迅速にエスカレーションするプロセスがあるかを評価するのは、P-1「経営層へのエスカレーション」である。

また、P-10「E-mailやWeb上のベストプラクティス」は、社内のメール管理者やWebサーバー管理者との連携を評価する項目である。

外部のセキュリティ団体や善意の者から、自組織のセキュリティ上の問題に関する連絡を受け取るには、CSIRTと社内メール管理者、CSIRTとWebサーバー管理者の連携が欠かせない。小村によれば、海外から緊急連絡や重大なインシデント情報を受け取ることを想定して体制を整備している日本のCSIRTは少ない。「CSIRTは自組織のセキュリティに関する受付窓口の役割を担っており、社会からもそれが求められています」

そして、それぞれのパラメータは、次の5段階の成熟レベルで評価される。

SIM3の成熟レベル

このように44のパラメータにより、自組織のCSIRTの成熟レベルを評価することで、「なんちゃってCSIRT」になっていないかを点検でき、自組織のウィークポイントの改善を図っていけるのである。

「CSIRTの構造が象限で整理され、CSIRTを構成する要素の過不足や必要性を検討する点を見て、数学専攻だった大学時代に学んでいた数理論理学のモデル理論を思い出しました」

自身の問題意識や感覚にSIM3がぴったりと当てはまった小村は、講演を聴いた翌年、日本で開催するコミュニティの会合での講演をドンへ依頼する。ドンと銭湯に行ったのは、このときのことである。

無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。