2．成熟度とは？

成熟度（Maturity）とは、業務プロセス・体制・技術活用などが、どれだけ標準化・体系化され、継続的に改善できる仕組みとして運用されているかを表す指標です。例えば、インシデント対応が「属人的な判断で行われている」状態と、「手順が明文化され、訓練と自動化を通じて誰でも再現できる」状態を比べれば、後者がより成熟していると評価されます。
成熟度に着目することの意義は、セキュリティ対応を個人のスキルや経験に依存させず、組織として安定的・持続的に運用できる体制を築くことにあります。これが不十分だと、平常時には問題が顕在化しづらく、対応が場当たり的となってしまい、インシデントに対して脆弱（ぜいじゃく）です。組織として安定的かつ再現性のある対応力を構築するには、業務の標準化・文書化・継続的改善が欠かせません。成熟度という指標は、単に現時点の強さや技術力を測るものではなく、「いかに持続可能かつ拡張可能な形でセキュリティ対応が仕組み化されているか」を示す、組織運営の質を評価するための重要な観点なのです。このような軸で評価していくことにより、組織の現状を可視化し、どこをどう改善していくべきかを体系的に整理できます。
成熟度のレベルとしては、例えば、プロセスの成熟度モデルとして有名なCMMI（※1）においては以下のような段階に分けられています。

• レベル1 初期状態：行き当たりばったりで、定義や管理が不十分な状態
• レベル2 繰り返し可能：ある程度決まったやり方がある状態
• レベル3 定義されている：全体として統一されたルールや手順がある状態
• レベル4 定量的に管理されている：数字で進捗（しんちょく）や品質を管理できる状態
• レベル5 最適化している：さらにより良くするための改善活動を継続している状態

図1：成熟度レベル

成熟度は「セキュリティ対策の高度さ」とは必ずしもイコールではありません。例えば、外部脅威インテリジェンスの活用やThreat Huntingのような高度なセキュリティ施策を実施していても、それが属人的であり、プロセスが確立できていなければ、成熟度としては低いレベルになります。逆に、比較的ベーシックなセキュリティ監視であっても、それが標準化・文書化され、適切に管理され、組織的に実施する体制が整っていれば、成熟度は高く評価されます。つまり、成熟度とは「組織としての安定性や再現性」の尺度であり、技術的な専門性の高さとは評価軸が異なります。

3．フレームワークのご紹介

セキュリティ組織の成熟度を評価できるフレームワークはいくつか存在します。ここでは、実務で役立つ3つのフレームワークを紹介します。

3-1．X.1060 / JT-X1060：セキュリティ組織の構築・運用のガイドライン

ITU-T勧告のX.1060（日本版：JT-X1060）は、セキュリティ運用業務に関する包括的なガイドラインです（※2）（※3）。このフレームワークでは、セキュリティ対策全体に責任を持つ主体として「CDC（サイバーディフェンスセンター）」を定義し、CDCがどのようにセキュリティ対策を実装・実施していくべきかを示しています。以下の9カテゴリについて、64項目を分類しています。

• 戦略マネジメント
• 即時分析
• 深掘分析
• インシデント対応
• 診断と評価
• 脅威情報の収集および分析と評価
• CDCプラットフォームの開発・保守
• 内部不正対策支援
• 外部組織との積極的連携

例えば、CDCがセキュリティ戦略を文書化し、経営層と連携しているか、インシデント発生時の対応フローが定義・整備されているか、脅威インテリジェンスを継続的に収集・分析し活用する体制が整っているか、といった観点で評価していきます。
このフレームワークは、ISOG-Jが作成した「セキュリティ対応組織の教科書」（※4）をもとに国際標準としてまとめたものです。X.1060自体は成熟度評価モデルではありませんが、フレームワークの中にアセスメントの項目があり、成熟度レベルを評価できるようになっています。

3-2．SOC-CMM：SOCの総合力を診断する

SOC-CMM（Security Operations Center Capability Maturity Model）は、SOCの成熟度を多角的・網羅的に評価するフレームワークです（※5）。以下のような領域（ドメイン）をカバーしています。

• Business
• People
• Process
• Technology
• Services

各ドメインについて、6段階の成熟度レベル（Maturity Level）により評価します。例えば、ログ監視のプロセスが手作業か自動化されているか、対応手順が明文化されているか、といった観点で評価していきます。さらにTechnologyとServicesについては、4段階の能力レベル（Capability Level）による評価も行います。
網羅性に優れており、各項目が具体的かつ詳細なためアセスメントが進めやすく、改善箇所と方法を明確化するのに役立ちます。

3-3．SIM3：CSIRTの成熟度を測るグローバル標準

SIM3（Security Incident Management Maturity Model）は、CSIRTの成熟度を評価するための国際的な標準モデルです（※6）。欧州ENISAや国際CSIRT組織のFIRSTでも活用されています。以下の4カテゴリについて44項目を分類しています。 各項目について5段階で評価します。

• Organization
• Human
• Process
• Tools

例えば、連絡体制が文書化されているか、インシデント発生時に外部との連携体制が整っているかなどが評価対象となります。
SIM3による評価・診断を行うスキルを持った人を認定する仕組みがあり、認定を受けた人を”Certified SIM3 Auditor”と呼びます。
NTT DATAにも複数名のCertified SIM3 Auditorが在籍しています。

4．まとめ

セキュリティ組織が実施する業務は、攻撃の監視・分析、インシデント対応、教育・訓練など多岐にわたり、それらを継続的に改善していくことが求められます。そのためには、「今どのレベルにあるのか」「どこを強化すべきなのか」を客観的に洗い出し、把握することが肝要となります。カバレッジや技術レベル、能力レベル、成熟度レベルとさまざまな評価軸があり、それらを総合的・多角的に活用する必要があります。中でも成熟度は、セキュリティ組織としての対応力を評価できる重要な指標です。今回紹介したX.1060、SOC-CMM、SIM3といったフレームワークは、それを客観的に示し、セキュリティ戦略を策定する上での道しるべとなります。それぞれに得意とする領域や対象があるため、「どの組織を評価したいのか（SOCなのか、CSIRTなのか、組織全体なのか）」「何を強化したいのか（プロセスか、人材か、技術か）」という目的に応じて使い分けると、より効果的に、セキュリティを担う組織としての力を向上させることができるでしょう。
本記事では、セキュリティ成熟度評価についてご紹介しました。NTT DATAでは引き続き最新動向をキャッチアップし、ノウハウを蓄積・公開してまいります。