サイバーセキュリティ成熟度モデルの理解-Huntsman

マーチ3, 2020

サイバーセキュリティ成熟度モデル認定(CMMC)は、国防総省(DoD)内の取得のための国防次官補のオフィスによって主導される米国のイニシアチブです。 これは、米国の防衛サプライチェーン内の情報を保護するために、国防総省の請負業者および下請け業者に要件を課しています。 この記事では、CMMCを分析し、コンプライアンスを達成する方法や、独自の情報セキュリティプログラムの基礎として使用する方法を見ていきます。 CMMCの概要を説明する最初の投稿を読むことができます。

まず、サイバーセキュリティ成熟度モデルが存在する理由と、組織がビジネスプロセス(情報セキュリティ管理など)を監視、評価、継続的な改善の回転に対 成熟度モデルの起源に関するこの歴史的見解は、サイバーセキュリティチームにとって、成熟度の各レベルの基礎として重要であり、サイバーセキュリティとCMMCの17の特定のドメインに適用される根本的な理論的根拠は、より良いセキュリティ決定を行い、レベル間で進行するために何を行う必要があるかを判断するのに役立ちます。

あなたのセキュリティ制御効果の即時ビューを得る–短いビデオを見る

Esential8監査人の短い概要ビデオ

成熟度モデルとは何ですか?

成熟度モデルは、早ければ1986年からソフトウェア工学で使用されてきました。 もともと、Capability Maturity Model(CMM)は、米国国防総省の請負業者のプロセス成熟度を評価するために開発されたもので、成功したソフトウェアプロジェクトを提供する可能性の目安として、成熟度スコアが高いほど、プロセスが良くなり、ソフトウェアの設計、開発、品質保証(テスト)、および構築に確立されたプロセスを使用する可能性が高くなります。

満期という用語は、各プロセスの確立と最適化のレベルがアドホックから正式に定義され、最適化されるまでの範囲である、評価の特定の側面に関 この初期のCMMアプローチはソフトウェア開発プロセスの改善を目的としていたため、その適用性はやや限られていたため、2006年にカーネギーメロン大学のSoftware Engineering Institute(SEI)が機能成熟度モデル統合(CMMI)を作成するためにそれを再加工した。

それ以来、能力成熟度モデルは、ICTインフラ、サービス管理、ビジネスプロセス管理、製造、土木工学、サイバーセキュリティなど、あらゆる分野で登場してきました。

CMMI

Capability Maturity Model Integration(CMMI)フレームワークは、組織がプロセスの有効性を測定し、時間の経過とともに改善する方法を特定するのに役立つプロセス測定と改善

米国 国防総省は、このブログシリーズで見ているCMMCツールの前駆体であったCMMIの開発に資金を提供し、支援しました。 CMMIは、ISACAが2016年に購入したCMMI研究所によって管理されています。

CMMIは現在、ソフトウェア工学とICTサービス管理の両方で世界中で使用されています。 政府の製品やサービスを提供する組織は、多くの場合、設計、開発、テスト、および配信の正式な方法の使用を必要とする成熟度のレベルである、コア配信プ CMMIには5つの成熟度レベルがあり、レベル5は、プロセスがビジネス全体で完全に最適化され、継続的なプロセス改善体制の下で管理される理想的な

成熟度レベル

CMMIには5つの成熟度レベルがあり、CMMの当初のガイドラインに従っています。 これらのレベルは次のとおりです:

  1. 初期:プロセスは、ローカライズされたドキュメントを除いて、ややアドホックで未定義です。
  2. : プロセスは合意された指標に従って管理されますが、有効性の評価やフィードバックの収集に焦点はなく、プロセスが続いている間は成功の概念はあ プロセスはビジネス全体で一貫していません。
  3. Defined:プロセスは明確に定義され、標準的なビジネスプロセスとして認識され、プロセス出力を記録するために使用されるより詳細な手順、作業指示、およびレジスター(アーティファクト)に分類されます。
  4. : 指標は各プロセスから収集され、プロセスの有効性を分析して報告するプロセスガバナンス委員会にフィードバックされます。
  5. 最適化:プロセス管理には、規律ある最適化と継続的なプロセス改善に焦点を当て、ビジネスアナリストの完全なチームは、可能性のある問題と改善の機

サイバーセキュリティはビジネスプロセスに非常に熱心に焦点を当てているので、セキュリティ成熟度のための調整されたCMMIフレームワークが来たのは理にかなっています。

サイバーセキュリティ成熟度モデル

CMMIは柔軟性があり、あらゆるビジネスプロセスに適用されるため、情報セキュリティ管理のフレームワークを調整す サイバーセキュリティに適応したCMMIソリューションの1つの例として、CMMI InstituteのCybermaturity Platformがあります。 運用セキュリティに特化した別のモデルは、CMMIによって指定された元の”初期”層の下に成熟度の一つの余分な層を追加するSOC-CMMです。 これは、SOCプロセスが確立されていない場所であり、その結果、”存在しない”と評価されます。”SOC-CMMのさらなる改良により、ほとんどのセキュリティプロセスはISO27001などの他の規格に対して継続的に評価され、改善されるべきであるため、継続的

これまで見てきたように、米国国防総省はプロセスの成熟度に強い関心を持っているため、CMMCフレームワークにおけるサイバーセキュリティの成熟度に CMMCには、サイバープロセスの成熟度を測定する5つのレベルの認証もあり、各レベルは特定の技術要件を持つ以前のレベルで開発されています。 プロセスは17の別々のセキュリティドメインに分割され、NIST cybersecurity framework(CSF)と非常に密接に連携しているため、CMMCはCSFと連携して最適化され、継続的に改善されたセ CMMIレベルと同様のCMMCレベルは、初期から最適化まで実行されますが、各レベルの定義は次のようにサイバーセキュリティに固有のものです:

  1. レベル1:ウイルス対策ソフトウェアを使用したり、従業員がパスワードを定期的に変更するようにするなど、基本的なサイバー衛生慣行を実行します(例
  2. レベル2:米国商務省国立標準技術研究所の特別公開800-171Revision1(NIST800-171r1)セキュリティ要件の実施を通じて、制御された未分類情報(CUI)の保護を開始す
  3. レベル3: すべてのNIST800-171r1セキュリティ要件および追加基準を含む、cuiを保護するための優れたサイバー衛生慣行を実施するための制度化された管理計画。
  4. レベル4:実践の有効性を見直し、測定するためのプロセスを実施し、高度な持続的脅威(APTs)の変化する戦術、技術、手順を検出し、対応する追加の強化された実践を確立した。
  5. レベル5: 標準化され、最適化されたプロセスと、APTsを検出して対応するための洗練された機能を提供する追加の強化されたプラクティス。

これらのレベルからわかるように、連続体はCMMIと同じモデルに従いますが、特にサイバーセキュリティに合わせて調整されています。 評価者は現在、米国を評価し、認定するためにCMMCを使用することができます 国防総省のサプライチェーンは、より複雑な構造やビジネス要件を持つ大規模な組織よりも、小規模な組織の変更と改善が実施しやすいため、小規模な組織の参入障壁を比較的容易に達成できるため、確立する強力な体制です。

次のステップ–CMMCドメインを見る

この記事では、CMMCフレームワークの背後にある歴史と、セキュリティ体制を継続的に改善するためにこのようなモデルを採用することがサイバーセキュリティにおいて重要である理由を見てきました。 今後の投稿では、ドメインの選択を見て、成熟度の低いレベルから最高レベルへの進行を追跡し、機能と実践をどのように満たすことができるかの文脈と例を提供します。

コメントを残す

メールアドレスが公開されることはありません。