昨今、多くの企業でCSIRTが構築されています。NRIセキュアの2022年の独自調査によると、従業員規模が10,000人以上の大企業では約8割がCSIRTを導入済みであり、従業員規模が1,000人以上の中堅企業でも約4割がCSIRTを構築しているという調査結果が出ています。自社の国内のOA環境でインシデントが発生した際に対応するためだけのCSIRTではなく、国内のグループ会社や現地法人等のグローバルの拠点まで対象を広げ、グローバル全体でのインシデント対応体制を整備される企業様が多くいらっしゃいます。
また直近では、CSIRTの構築支援ではなく、「CSIRTの運用開始後、これからどのようにCSIRTを良くしていくべきか」、「自社のCSIRTはどこまで成熟しているのか」、「実効性のあるCSIRTなのか評価してほしい」といったような要望をいただく機会も増えています。
過去評価したCSIRTの代表的な課題として「経営層へのエスカレーションフローや基準が明確になっていない」、「CSIRTの体制はあるが、対応スコープがかなり限定的で全社をカバーできていない」、「技術的な対応についてはかなり細かく取り決められているが、関連部門(法務、広報、総務等)との連携プロセスや役割分担が明確になっていない」といったことが散見されます。
インシデント対応において、技術的な対応はもちろん必要ですが、それのみならず会社全体における事業経営の観点での対応も不可欠となるため、そのための準備が組織としてできているかを専門家に評価・監査をしてもらう必要があります。その時に活用できる指標の1つとして「組織」、「人材」、「ツール」、「プロセス」の様々な観点でCSIRTの成熟度を測ることができるのがSIM3です。
本ブログでは、SIM3について、
- SIM3とは何か?
- SIM3を使ってCSIRTを監査する「SIM3監査人」とは?
- SIM3と他のインシデント対応ガイド(NIST SP800-61やFIRST CSIRT Service Framework)との違いは?
について解説していきます。
このブログを読むことで、SIM3についての理解を深められ、他のインシデント対応ガイドラインとの違いについても理解を深めていただければと思います。
SIM3とは
SIM3とは、Security Incident Management Maturity Modelの略称であり、CSIRTの成熟度を測るために活用される指標です。2008年頃にOpen CSIRT Foundation(参考リンク:https://opencsirt.org/)によって公開されました。
現在(2024年9月時点)は、SIM3 v2の暫定版が公開されており、2024年中にSIM3 v2が正式にリリースされる予定とされています。
SIM3の評価指標は、下記4つのカテゴリに分けられ、CSIRTの成熟度を様々な観点で評価できるような形となっています。
SIM3の各カテゴリ
カテゴリ |
概要 |
項目数 |
組織 |
CSIRTの役割、権限など組織におけるCSIRTの位置づけが定義されているか。 |
11 |
人材 |
CSIRTメンバーに必要なスキルセットの定義や育成計画が定まっているか。 |
7 |
ツール |
インシデントの防止、検知、管理等を実施するためのツールが導入されているか。 |
10 |
プロセス |
インシデントに迅速に対応するための順序付けされた一連のアクションの流れを定めているか。 |
17 |
また各カテゴリでパラメータ(以下、評価項目)数にはばらつきはあるものの、合計で45の評価項目あります。
SIM3の各評価項目(要約)
カテゴリ |
# |
評価項目 |
内容 |
組織 |
O-1 |
Mandate(任命) |
・誰に指示されてCSIRTが発足・運営しているか。 |
O-2 |
Constituency(受益者) |
・誰のためのCSIRTか。誰をターゲットにしているか。 |
|
O-3 |
Authority |
・どんなことを実施する権限があるか。 |
|
O-4 |
Responsibility |
・何を期待されているか。どんな責任があるか。 |
|
O-5 |
Service Description |
・どんなサービス(業務)を提供・実施しているか。 |
|
O-6 |
Public Media Policy |
・メディアに公開する際の基準が定められているか。 |
|
O-7 |
Service Level Description |
・CSIRTのSLAが定義されているか。 |
|
O-8 |
Incident Classification |
・インシデントレベル基準が定義されているか。 |
|
O-9 |
Participation in CSIRT system |
・外部のCSIRT関連コミュニティに参画しているか。 |
|
O-10 |
Organizational Framework |
・O-1からO-9がドキュメント化されているか。 |
|
O-11 |
Security Policy |
・CSIRT自身のセキュリティポリシーがあるか。 |
|
人材 |
H-1 |
Code of Conduct |
・CSIRTメンバーの行動規範が定められているか。 |
H-2 |
Staff Resilience |
・病気や休暇等を考慮したメンバーの人数になっているか。 |
|
H-3 |
Skillset Description |
・CSIRTに必要なスキルセットが定義されているか。 |
|
H-4 |
Staff Development |
・CSIRTの新たなメンバーの能力開発を推進するポリシーの有無 |
|
H-5 |
Technical Training |
・CSIRT業務に関連したテクニカルトレーニングの実施 |
|
H-6 |
Soft Skill Training |
・コミュニケーション/プレゼンテーション能力向上のためのトレーニングの実施 |
|
H-7 |
External Networking |
・外部のCSIRTメンバーと交流しているか。 |
|
ツール |
T-1 |
IT Assets and Configuration |
・CSIRTがIT資産やコンフィグに関する情報を確認できるか。 |
T-2 |
Information Source List |
・脆弱性情報、脅威情報等をどこから入手するか決めているか |
|
T-3 |
Consolidated Messaging System |
・CSIRTメンバー全員が通報に気づくようにメッセージシステムをオープンにしているか。 |
|
T-4 |
Incident Tracking System |
・インシデントがどんな状況になっているのかトラックできるようなチケットシステムがあるか。 |
|
T-5 |
Resilient Voice Call |
・電話等のボイスコールシステムをCSIRTのSLAを満たすように用意されているか。 |
|
T-6 |
Resilient Messaging |
・メールやチャットツール等のメッセージツールシステムをCSIRTのSLAを満たすように用意されているか。 |
|
T-7 |
Resilient Internet Access |
・インターネットアクセスについて、CSIRTのSLAを満たすように用意されているか。 |
|
T-8 |
Incident Prevention Toolset |
・インシデントの発生を予防するためのツールの用意がされているか。 |
|
T-9 |
Incident Detection Toolset |
・インシデントを検知するためのツールの用意がされているか。 |
|
T-10 |
Incident Resolution Toolset |
・インシデントから回復するためのツールの用意がされているか。 |
|
プロセス |
P-1 |
Escalation to Governance Level |
・CSIRTよりも上位組織へのエスカレーションプロセスの有無 |
P-2 |
Escalation to Press Function |
・CSIRTのホスト組織の広報部門との連携プロセスの有無 |
|
P-3 |
Escalation to Legal Function |
・CSIRTのホスト組織の法務部門(法律事務所)との連携プロセスの有無 |
|
P-4 |
Incident Prevention Process |
・CSIRTがインシデントを予防するためのプロセスの有無 |
|
P-5 |
Incident Detection Processes |
・CSIRTがインシデントを検知するためのプロセスの有無 |
|
P-6 |
Incident Resolution Process |
・CSIRTがインシデントを解決するためのプロセスの有無 |
|
P-7 |
Specific Incident Processes |
・よく起きる特定のインシデントへの対応プロセスの有無 |
|
P-8 |
Audit &Feedback Process |
・CSIRTが品質レベルを維持するために監査を受けるためのプロセスの有無 |
|
P-9 |
Emergency Reachability Processes |
・緊急時にCSIRTに連絡できるようにするためのプロセスの有無 |
|
P-10 |
Best Practice Internet Presence |
・外部からCSIRT宛てに連絡できるような窓口があるか。 |
|
P-11 |
Secure Information Handling Process |
・CSIRTが機微なインシデントレポートおよび情報を取り扱うためのプロセスの有無 |
|
P-12 |
Information Source Process |
・CSIRTが様々な情報リスト(脆弱性情報、脅威情報等)を取り扱うためのプロセスの有無 |
|
P-13 |
Outreach Process |
・CSIRTが従業員等に対して周知等するためのプロセスの有無 |
|
P-14 |
Governance Reporting Process |
・CSIRTが経営層等のレベルに対して報告するためのプロセスの有無 |
|
P-15 |
Constituency Reporting Process |
・CSIRTが従業員等に対して報告するためのプロセスの有無 |
|
P-16 |
Meeting Process |
・CSIRT内での定期的な会議を実施するプロセスの有無 |
|
P-17 |
Peer Collaboration Process |
・外部のCSIRTや上流のCSIRT(親会社等)との交流をするためのプロセスの有無 |
そして、全45のそれぞれの評価項目に対する成熟度を評価するため、以下の5段階のレベルが定義されています。
各評価項目でどのくらいの成熟レベルなのかを確認することで、評価対象のCSIRTの強み・弱みを可視化することができ、改善計画を策定する際に活用できます。
成熟度レベルの定義
レベル |
定義 |
レベル0 |
未定義・不明 |
レベル1 |
認識しているが、文書化していない |
レベル2 |
文書化しているが、責任者からの承認を受けていない |
レベル3 |
文書化しており、責任者からの承認を受けている |
レベル4 |
レベル3に加え、定期的にガバナンスレベル(経営層等)からのレビューを受けている |
成熟度レベルの定義から分かる通り、SIM3では、「文書化されているか否か」を一つの重要なポイントとしています。
CSIRTは企業・組織の中で、チームとして対応する必要があるため、個人のスキルや能力に依存した属人的な対応を排除しなければなりません。また企業・組織全体としての場当たり的な対応ではなく、インシデントによる被害の最小化と早期復旧のために迅速かつ一貫したインシデント対応ができるようにしておくことを重要視しているからこそだと考えられます。
同様に、「経営層を巻き込むこと」も重要視しています。CSIRTの強化、改善をしていくためには、少なからずコストがかります。そのため、経営層にCSIRTの活動をアピールし、定期的に経営層からのレビューを受け、経営層の方に自分事としてCSIRTの活動を始めとするセキュリティ対策に関与してもらうことの重要性が表れていると考えられます。サイバーセキュリティ経営ガイドラインにも
「経営者は、組織の意思決定機関が決定したサイバーセキュリティ体制が当該組織の規模業務内容に鑑みて適切でなかったため、組織が保有する情報の漏えいなどにより会社や第三者に損害が生じた場合、善管注意義務違反や任務懈怠(けたい)に基づく損害賠償責任を問われ得るなどの会社法・民法等の規定する法的責任やステークホルダーへの説明責任を負う。さらに、被害が深刻な場合の事業停止や新たな脅威に対処するための予算措置等の経営判断も要求され、担当者への丸投げは許されるものではない。」
といった記載があり、経営層の関与が重要であることが書かれています。CSIRTの整備を含むサイバーセキュリティ対策は経営課題となっています。
SIM3監査人とは
CSIRTの成熟度を測る評価指標であるSIM3を活用する際に、組織内部の人間が自己点検として実施するケースと、外部の第三者に実施してもらうケースとで、大きく分けて2つあります。SIM3では前者を「評価」と呼び、後者を「監査」と呼んでいます。
# |
定義 |
評価(Assessment) |
組織内部の人が自己点検する |
監査(Audit) |
組織外部の第三者が点検する |
SIM3はCSIRTの成熟度を測るための1つの指標ですが、FIRST((The Forum of Incident Response and Security Teams):世界中のコンピューターセキュリティインシデント対応チーム(CSIRT)が所属する非営利の国際フォーラム(参考リンク:https://www.first.org/))加盟の際の条件の1つとして活用されています。
下図に示す通り要求レベルは高くないものの、FIRSTへ加盟する際に最低限のCSIRTの成熟度が求められます。(下図の赤い部分が求められるレベル)
また欧州の組織(ENISA(EUROPEAN UNION AGENCY for CYBERSECURITY)(参考リンク:https://www.enisa.europa.eu/))に属するナショナルCSIRTに求める基準としてもSIM3は活用されています。
https://sim3-check.opencsirt.org/#/
表 4 FIRST加盟の際に求められる評価項目および成熟度レベル(抜粋)
カテゴリ |
# |
評価項目 |
求められる 成熟度レベル |
内容 |
組織 |
O-1 |
Mandate(任命) |
3 |
・誰に指示されてCSIRTが発足・運営しているか。 |
O-2 |
Constituency (受益者) |
3 |
・誰のためのCSIRTか。誰をターゲットにしているか。 |
|
O-3 |
Authority |
3 |
・どんなことを実施する権限があるか。 |
|
O-4 |
Responsibility |
3 |
・何を期待されているか。どんな責任があるか。 |
|
O-5 |
Service Description |
3 |
・どんなサービス(業務)を提供・実施しているか。 |
|
O-10 |
Organizational Framework |
3 |
・O-1からO-5までがドキュメント化されているか。 |
|
人材 |
H-1 |
Code of Conduct |
2 |
・CSIRTメンバーの行動規範が定められているか。 |
H-2 |
Staff Resilience |
2 |
・病気や休暇等を考慮したメンバーの人数になっているか。 |
|
H-7 |
External Networking |
2 |
・外部のCSIRTメンバーと交流しているか。 |
|
プロセス |
P-1 |
Escalation to Governance Level |
3 |
・CSIRTよりも上位組織へのエスカレーションプロセスの有無 |
P-11 |
Secure Information Handling Process |
2 |
・CSIRTが機微なインシデントレポートおよび情報を取り扱うためのプロセスの有無 |
その際に、当該CSIRTが要求されるレベル(成熟度)を満たしているかどうか確認し、Open CSIRT Foundationに報告する権利を有するのが“SIM3監査人“です。
SIM3監査人は、特定のトレーニングを受講し、最終テストに合格した人のみが手にすることができるOCFの認定資格です。資格を有する人であれば、特定のCSIRTがFIRSTに加盟したいといった際に評価/監査し、OCFに報告することで当該CSIRTはFIRSTへの加盟の要件の1つを満たすことができます。一方で、資格を持たない人が自己申告で、「FIRSTの求めるレベルを満たしています」ということをOCFに報告することができず、FIRSTへの加盟の要件をクリアできません。
日本ではまだSIM3監査人による正式な「認定」が必要になる機会はあまりないかもしれませんが、CSIRTの成熟度を正しく評価できるSIM3監査人による「認定」がFIRST加盟の際には必要になるということです。
日本ではSIM3が何らかの団体に加盟する際のベースラインにはまだなっていないので、SIM3監査人に認定してもらう必要はありません。そのため、自己点検の一環としてSIM3を評価指標として利用してもよいと思います。
一方で、SIM3に定められている評価項目に記載されている内容を正しく読み解き、監査対象組織からの情報を元に成熟度を判断する必要があります。そのためSIM3監査人の資格を有する人でないと、正確なCSIRTの成熟度評価および改善策の提示は難しいと考えられます。
また全ての項目に対して成熟度レベル4を目指すことが必ずしも良い訳ではありません。単純に自分たちのCSIRTの成熟度レベルを図るだけではなく、どのレベルまで目指せばよいのか、現状を踏まえどう優先順位をつけて対策をしていくべきかといった観点で評価してもらうためにもSIM3監査人の資格を有する外部のコンサルタントに相談するのが望ましいでしょう。
他のガイドラインとの違い
前述の通り、SIM3はCSIRTの成熟度を測り、更に良くしていくために利用されます。CSIRTをより良くするという意味では、インシデント対応時のベストプラクティス、ガイドラインとしてNIST SP800-61やFIRST CSIRT Services Frameworkもあるため、どのような違いがあるのか、使い分けるのがよいのか悩ましいところです。
そこで今回はSIM3と他の代表的なインシデント対応関連のガイドラインとを比較し、であるそれぞれどういった特徴があり、何が違うのか、まとめていきたいと思います。
SIM3とNIST SP800-61、FIRST CSIRT Services Frameworkの違い
それぞれの特徴は以下の通りです。
- SIM3:
- 組織、人材、ツール、プロセスの4つの観点に焦点を置き様々な観点でCSIRTの成熟度を評価できるようになっている。
- NIST SP800-61:
- インシデントの検知、分析、優先順位付けおよび処理をどう実施するか、インシデント対応フェーズに焦点が置かれている。
- インシデント種別ごと(DDoS攻撃、マルウェア感染、不正アクセス等)に対応すべき事項/実施すべきアクションがまとめられている。
- FIRST CSIRT Service Framework
- CSIRTが実施する業務(サービス)に焦点を置き、そのサービスを実現するために必要な機能(要件)が細かく整理されている。
- CSIRT またはそれ に相当するチーム自体を構築または改善する方法を説明するための文書ではない。
SIM3とNIST SP800-61、FIRST CSIRT Services Frameworkの違い
まとめ
今回は、下記について解説をしました。
- SIM3とは何か?
- SIM3を使ってCSIRTの監査する「SIM3監査人」とは?
- 他のインシデント対応ガイド(NIST SP800-61やFIRST)とSIM3の違いは?
私自身、今年SIM3監査人のトレーニングを受講し試験をパスして資格として認定されました。
SIM3は前述の通り「組織」、「人材」、「ツール」、「プロセス」といった様々な観点が盛り込まれているため網羅的にCSIRTを評価できる非常に使いやすい指標だと思います。
またトレーニングを通じて、改めてCSIRTは経営層と緊密に連携すべきチームである再認識しました。CSIRTの成熟度というと、CSIRT内での検知能力や対応能力をイメージするかもしれませんが、SIM3ではその領域だけではなく、検知した後の他部門との連携や経営層へのエスカレーションプロセス等、会社全体でのインシデント対応態勢を評価する指標となっています。そのため、これまでそういった観点で評価したことがない方は積極的に活用するべき評価指標だと思います。
また今回は、他のインシデント対応ガイド(NIST SP800-61やFIRST CSIRT Services Framework)とSIM3の違いについて、前述の通り各インシデント対応ガイドラインの特徴を踏まえご紹介しました。特定のガイドラインだけが優れているということではなく、各組織のインシデント対応態勢やCSIRTの成熟度を向上させるためには、各ガイドラインの特徴を理解したうえで、使い分けていくことが必要となります。
そしてSIM3はCSIRTの成熟度を評価するための指標であり、実際にすでにFIRSTへの加盟の要件の1つになっています。加えて、欧州の組織(ENISA)に加盟する国のナショナルCSIRTに求める水準を示す要件としても活用されています。日本ではまだ特定の団体に加盟する際の指標になってはいませんが、今後日本でも入札時の要件や、RFPに要件として記載されるといった日が来るかもしれません。
CSIRT構築から数年経過している組織はたくさんあると思います。日々進化するサイバー攻撃に対して、構築から数年経過し見直しが行われていないようなCSIRTで自社全体を守れるでしょうか。サイバー攻撃の被害にあったことがないから大丈夫だろう、と考えていると危険です。被害にあったことがないからこそインシデントが発生した際に本当に対応できる体制になっているのか評価しておく必要があります。
CSIRTの運用を開始した後、これからどのようにCSIRTをよくしていくべきか、自社のCSIRTはどこまで成熟しているのか知りたい、評価してほしいといったようなご要望があれば是非お気軽にご相談ください。
【関連サービス】