ナビゲータのEVEです。
開発環境(VMware Workstation)と、XServerの環境なのですが、インストールした結果が微妙に違うようです。
XServerでは、全く問題にならなかった、プログラムからのデータベース接続・・・。VMware Workstationの環境ではPHPからの接続ができません。理由は、個々のユーザーの接続・通信方式のセキュリティが高くなったこと・・・。
XServerでは、全く問題にならなかったのですが、開発環境では、XServerと同じ手順でインストールすると通信が全くできません。約1日かけて昨日やっと解消し、本日からデータベース周りの開発に入っています。デバックをビックバンデバックでしているということもありますが、思ったより時間がかかっています。ただ、見通しでは、オンスケに持っていけそうです。
という開発状況なのですが、本日は日曜日ということでセキュリティの話になります。先週は、開発関連の不手際によりお休みをいただきましたが、本日は、先々週の続きで、CMMIの話をします。
先々週なんで、CMMIの話をしたかというと、CSFティアを分類する場合、CMMの分類を使用しているという話をChatGPTに聞いたので、CMMを調査したところ、CMM自体は、2000年代前半までしか使われておらず、現在は、CMMIを使用し多くの企業が開発していることを知りました。ただ、今までの調査の内容では、CSFティアをCMMまたはCMMIでどのように分類したらいいのか微妙に分かりません。読んでみると、CSFティアとCMMIの分類は似ていて、どっちも同じようなことを言っているような気がしますし・・・。そういうところから、本日は、CSFティアを、CMMIを用いてどう分類するのか検討していきたいと思います。
[CSFティアをCMMIによる分類方法~by ChatGPT]
では、早速CMMIを用いて、どうやって、CSFティアを分類したらいいのかChatGPTに聞いてみましょう!
❶CSFティアとCMMIの対応関係
CSFのティアは以下の4段階で構成されており、それぞれのレベルがCMMIの成熟度と対応しています。
| CSFティア | 説明 | CMMI成熟度モデルとの対応 |
| ティア1(部分的 - Partial) | セキュリティ対策が場当たり的で、標準化されていない。経営層の関与も少ない。 | CMMIレベル1(初期) |
| ティア2(リスク情報に基づく - Risk Informed) | セキュリティ対策が一定の管理のもとで実施されているが、全社的な統制が取れていない。 | CMMIレベル2(繰り返し可能) |
| ティア3(反復的 - Repeatable)CMMI | セキュリティ対策が全社的に標準化され、組織的に管理されている。 | レベル3(定義済み) |
| ティア4(適応的 - Adaptive) | セキュリティ対策が定量的に管理され、継続的改善が行われている。 | CMMIレベル4(定量管理)・レベル5(最適化) |
❷自社のCSFティア分類をCMMIで評価する方法
★ステップ1: 自社のセキュリティプロセスを確認
まず、自社のセキュリティ対策がどのように管理されているかを確認します。以下のポイントをチェックします。
・プロセスが標準化されているか?
・全社的なセキュリティポリシーが存在するか?
・経営層がセキュリティ管理に関与しているか?
・定量的なリスク管理が行われているか?
・インシデント対応が継続的に改善されているか?
★ステップ2: CMMIの成熟度レベルを評価
自社のセキュリティ管理が、CMMIのどの成熟度レベルに該当するかを評価します。
・CMMIレベル1(初期) → セキュリティ管理が場当たり的で、個別対応が多い。
・CMMIレベル2(繰り返し可能) → 基本的な管理がされているが、標準化が進んでいない。
・CMMIレベル3(定義済み) → セキュリティプロセスが組織全体で統一され、ドキュメント化されている。
・CMMIレベル4(定量管理) → 定量的な分析やモニタリングに基づき、セキュリティ管理が行われている。
・CMMIレベル5(最適化) → 継続的な改善が組織文化に根付いており、最新の脅威にも迅速に対応できる。
★ステップ3: CMMI成熟度レベルに基づいてCSFティアを決定
CMMIの評価結果を、CSFティアと照らし合わせて、自社のセキュリティ成熟度を分類します。
・CMMIレベル1 → CSFティア1(部分的)
・CMMIレベル2 → CSFティア2(リスク情報に基づく)
・CMMIレベル3 → CSFティア3(反復的)
・CMMIレベル4・5 → CSFティア4(適応的)
例えば、自社のセキュリティプロセスがCMMIレベル3に相当する場合、CSFティア3として分類できます。
❸具体例: 企業のCSFティア分類
★ケース1: スタートアップ企業(ティア1)
・セキュリティ対策は場当たり的で、正式なセキュリティポリシーはない。
・インシデント発生時の対応は個々のエンジニアに依存している。
・CMMIレベル1相当 → CSFティア1(部分的)
★ケース2: 中堅企業(ティア2)
・基本的なセキュリティ管理があり、ポリシーもあるが、従業員への浸透が不十分。
・インシデント対応はマニュアル化されているが、抜け漏れがある。
・CMMIレベル2相当 → CSFティア2(リスク情報に基づく)
★ケース3: 大企業(ティア3)
・組織全体で統一されたセキュリティポリシーがあり、定期的な監査を実施。
・セキュリティリスクはリスク評価基準に基づいて管理されている。
・CMMIレベル3相当 → CSFティア3(反復的)
★ケース4: 先進的な企業(ティア4)
・AIを活用したセキュリティ監視システムを導入し、攻撃パターンを分析。
・セキュリティインシデントの発生率や影響度を定量的に測定し、継続的に改善。
・CMMIレベル4・5相当 → CSFティア4(適応的)
❹まとめ
CSFティアを決定する際に、CMMIの成熟度レベルを参考にすることで、より客観的に自社のセキュリティ態勢を評価できます。
★手順のまとめ
1)自社のセキュリティ管理状況をチェック
2)CMMIの成熟度レベルを評価
3)CMMIとCSFティアを照らし合わせて分類
これにより、CSFティアの判断基準を明確化し、今後のセキュリティ強化の方向性を決定できます。
もし具体的に自社の状況を整理したい場合は、簡単なチェックリストを作成し、一緒に評価していくこともできます。興味があれば教えてください。
[ChatGPTの解答からの考察]
ChatGPTに聞いた内容だと、企業の成長とともに語られるものではなく、業界とか、企業規模といったレベルで最適なティアを決定すると聞いていました。その決定するに際し、どんな要素があるか聞いたところ、ChatGPTはCMMを紹介してくれたのですが、CMMまたはCMMI自体が、CSFティアを解説した内容で、かつ、企業の成長とともに適用するような内容となっています。しかも、定量的ではなく、抽象的で、説明できているレベルではありません?それについて、ChatGPTに質問をしたところ、以下のような提案がありました。
・企業規模や業界ごとに適正なティアを設定する
・チェックリストを用意し、「はい / いいえ」でスコアリングする
・ISO 27001やNIST SP 800シリーズを参考に、認証基準と対応づける
[あとがき]
今まで、サイバーセキュリティ経営ガイドラインから始まり、CPSF、CSFと調べてきましたが、今回で一旦その話は終了したいと思います。
今後は、何か付け加えることがでてきましたら、ブログの中で御紹介したいと思います。
これから、システムを公開していきますが、何事もないように細心の注意を払って開発を進めていきたいと、今までの調査から感じています。
お互いに気をつけましょう!
では、また!
コメント
コメントを投稿