[レポート][NTTデータ先端技術株式会社]SIM3の紹介 –なぜ成熟する必要があるのか – CODE BLUE 2022 #codeblue_jp

こんにちは、臼田です。

今回はCODE BLUE 2022で行われた以下のセッションのレポートです。

[NTTデータ先端技術株式会社]SIM3の紹介 --なぜ成熟する必要があるのか

SIM3(Security Incident Management Maturity Model)はCSIRTの組織としての成熟度を測るモデルである。CSIRTの構築・運用に悩まれている方にもシンプルで活用しやすいモデルとなっている。また、今年に入りSIM3による成熟度測定はFIRSTの加盟時の条件ともなった。 本講演では、その概要の紹介、ヨーロッパやFIRSTでの活用状況をお伝えする。

Presented by : 杉浦 芳樹 (NTTデータ先端技術株式会社 CSIRTディスティラー)

レポート

• CODE BLUEの登壇としては特に組織よりで珍しいかも
• 自己紹介
  • 1998年からCSIRT活動に関わる
  • JPCERT/CCから
  • もともとは技術者だが今は組織論とか教育とかやっている
  • SIM3は2008年に発表された
  • 2017年にSIM3の認定監査人
  • 2022年に認定トレーナーになった
• 日本シーサート協議会(NCA)加盟チーム数
  • 現在457チーム
  • 世界的に見ても異常な状態
  • 1つの国だけでこんなに加盟してコミュニティに参加しているところはない
  • だからといって日本だけではない
  • 欧米含めてFIRSTの加盟数は増えている
  • 600以上が加盟している
  • アフリカやアジア系のチームが加盟している
  • 課題が見える
    • FIRSTの加盟数も多い
    • 42チーム
    • アメリカ・スペインのほうが高い
    • NCAとの差が激しい
    • 海外に出ていけない自信のなさが伺える
    • もちろん海外で活動していないから必要がないという思いもあるかも
    • しかし、インターネットにボーダーはない
• CSIRT?
  • CSIRTを作ったけどインシデントどう対応したらいいですか？
  • インシデントなのか？
  • バーチャルとして上から横からいろいろ来る
  • 運用や教育の予算がない
• CSIRTの構築や改善の悩み
  • 立ち上げたけどこのままで良いのか
  • 何をどう改善すれば良いのか
  • 全部に有効ではないけどSIM3が有効なところがありそう
• CSIRT活動指標
  • 能力(capability)
    • 技術やコミュニケーション
  • 実施量(capacity)
    • 対応量、要員や予算
  • 成熟度(maturity)
    • 信頼性、安全性、最適化
• FIRSTのCSIRT Services Framework
  • 古いものはCERT/CCの物があったが置き換え
  • v2.1ではサービスエリアを5つに分類
  • この中から何をやるか決めていく
• CSIRTにもKPIが必要
  • 目標に対する管理できる数字であるべき
  • メール数とか対応時間とか対応件数とか
  • ただし自分たちを追い詰めるものであってはいけない
    • インシデントを0にするとか
  • ただでさえマイナーな情報を扱う
  • ゲームだと思うのがいいのではないか
  • できたら良かったと思うもの
  • 良い点も上げる
    • 案件対応のいいところ
    • 充実度など
• 成熟
  • CSIRTを消防署で例える
    • 消火活動 = インシデント対応
    • 火災原因調査 = インシデント原因調査
    • 火災予防、啓蒙
    • 日々の訓練
    • 違うのは地域にとどまらない
    • 消防署は公共のニーズ
      • ある一定以上で提供されることが保証されている
      • CSIRTはどうですか？
      • 残念ながら多くのCSIRTではできていない
• SIM3
  • Security Incident Management Maturity Model
  • CSIRTマネジメントの成熟度を評価し改善に役立てるためのモデル
  • 主にインシデント対応の成熟度
  • 必要な項目を列挙している
• 構成
  • 組織、要員、ツール、プロセスの4分野
  • 44の測定項目
  • 項目の文書化、承認、評価改善に基づくレベル分け
  • 0 - 4の5段階
  • 全部が4でなければならないわけではない
  • 各項目に置いて必ず実施しなければならない最低条件はある
  • 大体は目標を決める
• マチュリティーモデル
  • 暗黙知的なところから形式知的にしていく
  • 組織としてどのくらい認知されているか
  • 文書の品質まで見てないのでそこは危ないが
  • 改善に当てていく
• レーダーチャート
  • チャートで簡単にわかりやすい
• SIM3成熟パラメータ
  • 組織
    • 11個
    • 一番力を入れるポイント
    • 任命や責任
    • CSIRT間連携も重要だとしている
  • 要員
    • 7個
    • 行動指針やスキルセット
    • 人的な体外連携もある
  • ツール
  • プロセス
    • 8個
    • インシデント関連
• TF-CSIRTでのSIM3活用
  • ヨーロッパのコミュニティ
  • 220ぐらいのCSIRT画家名
  • 正式加盟にはAccredited Teamとして認められる
  • 希望する一般会員に対しSIM3で評価
  • そこそこ厳しい
  • 監査も実施する
• TF-CSIRTのCertified Team
  • 合計26チーム
• FIRSTでもSIM3でセルフチェックが求められるように
  • カンファレンスで講義が行われた
  • 午前中は概要説明
  • セルフアセスメント
  • FIRST加盟前チーム向け
• SIM3公認監査人トレーニング
  • 2023年3月にもやろうとしている

感想

CSIRT作ったけど何すればいいか、というのもなかなか味わい深い問題ですね。

しかし評価がすごく難しいとは思いますね。SIM3も活用できそうです。