CMM [セキュリティ研究室]

　こんにちは！
　ナビゲータのEVEです。

　本日は、日曜日ということで、セキュリティの日です。
　先週は、ここ数週間のまとめということで、サイバーセキュリティ経営ガイドライン、CPSF、CSFについて総復習をしてみました。
　それでは、本日から、実際のセキュリティについてどう施すのか考えていきます。その考えるにあたって、今回は、自分たちの組織がどのような立ち位置にいるのかを知るために、CMMI、CMMについて調べてみたいと思います。
　ChatGPTは、CSFティアを実践するにあたり、CMMを使用すべきだといった発言がありましたが、私個人としては、CMMIの方がしっくりするので、どうせならということで、両方を調べてみたいと思います。
　まずは、CMMから見ていきましょう！

[CMM]

　セキュリティのCMM（Capability Maturity Model、能力成熟度モデル）は、組織のセキュリティ対策やプロセスの成熟度を評価・改善するためのフレームワークです。このモデルを活用することで、組織がセキュリティ管理を段階的に向上させ、効率的かつ効果的なセキュリティ対策を実現することが可能になります。
　以下に、セキュリティCMMの基本的な概要と成熟度のレベルについて説明します。

■セキュリティCMMの目的
・セキュリティプロセスの標準化: 組織内で統一されたセキュリティ対策を策定。
・成熟度の評価: 現在のセキュリティ対策がどのレベルにあるかを客観的に評価。
・改善の指針提供: 次の段階に進むために必要なプロセスや対策を特定。
・リスク軽減: 体系的にリスクを特定し、適切な対応策を講じる。

■セキュリティCMMの成熟度レベル
　セキュリティCMMは、一般的に以下の5段階の成熟度レベルで構成されています。

★レベル1: 初期（Initial）
・特徴:
┣セキュリティ対策は個人依存であり、場当たり的。
┗文書化されておらず、標準化された手順が存在しない。

・リスク:
┣セキュリティインシデントが発生しても、対応が非効率的。
┗一貫性がなく、改善が困難。

★レベル2: 繰り返し可能（Repeatable）
・特徴:
┣基本的なセキュリティポリシーや手順が導入される。
┗特定のタスクについて、ある程度の一貫性がある。

・リスク:
┣依然として完全な標準化が不足し、担当者次第で結果にばらつきが生じる。
┗レベル3: 定義済み（Defined）

・特徴:
┣セキュリティプロセスが文書化され、組織全体で共有されている。
┗標準化されたポリシーや手順が確立される。

・利点:
┗トレーニングや教育が進み、関係者がセキュリティの重要性を理解。

・レベル4: 管理された（Managed）
・特徴:
┣セキュリティプロセスの効果が測定可能。
┗定量的なデータを基に、プロセスの改善が進められる。

・利点:
┗セキュリティ活動のコスト対効果が明確になり、リソースの最適化が可能。

・レベル5: 最適化（Optimized）
・特徴:
┣セキュリティプロセスが継続的に最適化される。
┗新たな脅威や技術に迅速に対応できる柔軟性を持つ。

・利点:
┗セキュリティが組織文化の一部として定着し、高い防御力を維持。

■導入の利点
1)リスクの可視化: 組織のセキュリティの弱点を明確にし、優先順位を付けて対応可能。
2)コンプライアンス対応: 規制や標準に準拠したセキュリティ対策の実施が可能。
3)リソースの最適化: 効果的な対策にリソースを集中できる。

■活用事例
・セキュリティ管理: SOC（セキュリティオペレーションセンター）の運用プロセス改善。
・開発プロジェクト: セキュアなソフトウェア開発プロセス（Secure SDLC）の評価と強化。
・組織の成熟度向上: 長期的なセキュリティ戦略の策定と実行。

■まとめ
　セキュリティCMMは、単なる評価ツールではなく、セキュリティプロセスの成長と改善を目指す指針として非常に有用です。組織全体でセキュリティの意識を高め、成熟度を向上させることで、将来のセキュリティリスクに備えることができます。

[CMMの開発の経緯]

　CMMは、もともとソフトウェア開発プロセスの品質管理と改善を目的として、米国カーネギーメロン大学のソフトウェア工学研究所（SEI: Software Engineering Institute）によって1980年代後半に開発されました。かなり、古いですね？そのころのアメリカの開発状況は、当時の日本と同じ状況だったようです。列記すると以下のような状況です。

・大幅な進捗の遅れ
・ソフトウェア開発の失敗が多発
・納品物が要求を満たしていない
・不具合が多い

以上のような現場の状況から、市場として以下のような要求が求められました。

・プロジェクト管理や品質保証のプロセスを明確にし、全体の効率性と一貫性を向上させる
・プロジェクトの管理手法や品質保証プロセスの標準化が求められた

以上のような状況を受け、CMMは以下の経緯で開発されています。ChatGPTからの解答です。

■CMMの開発経緯
❶国防総省からの依頼
　米国国防総省（DoD: Department of Defense）は、ソフトウェア開発ベンダーの選定基準を明確化するためのフレームワークを求め、カーネギーメロン大学のSEIに開発を依頼しました。

❷初期研究とモデルの作成
・EIの研究者たちは、優れたソフトウェア開発組織の特性を調査し、それらを体系化することでCMMを開発しました。
・1987年に最初のプロトタイプが公開され、その後改良を重ね、1991年に「CMM for Software（ソフトウェアCMM）」のバージョン1.0が正式にリリースされました。

❸段階的成熟度モデルの採用
・成熟度を段階的に評価する「5段階モデル」が採用されました。このモデルにより、組織が現在の成熟度を認識し、次のステップに進むための具体的な改善策を計画できるようになりました。

以上のCMMを導入することにより、劇的にソフトウェア、プロジェクトの成功率が大幅に向上し、組織が自社の強みと弱みを客観的に把握できるようになったそうです。

[気になる成功率]

　劇的に成功率が上がったというので、どのくらい成功率が上がったのか調べてみたところ、18%向上したようです。ただ、成功率の全体に占める比率が問題で、予算、品質などの全ての問題を加味すると、CMM導入前は16%で、導入後は34%に向上したというのです。
　この数値を見たとき、日本と同じじゃん！って思い、もしかして、もっと悪いのかと聞いたところ、ChatGPTから以下のような回答がありました。

　日経BP社の調査: 2003年に日経BP社の専門誌「日経コンピュータ」が実施した調査では、情報システム開発の成功率が26.7%と報告されています。
ハイパフォーマー - コンサルタントのための総合キャリア支援サービス

　まっ、想定通りといったところでしょうか？

[あとがき]

　本日は、CMMの話をさせていただきましたが、CMM自体は、1980年代のひどい開発状況を受けて、1991年に開発・完成しました。ただ、それを使用していたのは、10年ぐらいで、2000年に入ると、CMMを改良したCMMIが利用されるようになりました。そのため、以上の数値は、実は、2000年代前半のプロジェクト成功率になるそうです。本日は、公開しませんが、その調べていく過程で、現在は、アメリカ、日本とも成功率はかなり向上しているという統計もあります。
　クラウドについては、技術力が低いとみられ、日本の企業は触らせてもらえないなど、あまり、いい話は聞いていなかったのですが、今回の調査で印象が変わるかもしれません。
　それでは、続きはまた来週！