第215号：セキュリティに関連するプラクティス領域

CMMI V2.2からセキュリティに関連するプラクティス領域が追加されました。

セキュリティの支援(原文では、Enabling Security, ESEC)とセキュリティの脅威と脆弱性の管理(原文では、Managing Security Threats and Vulnerabilities,MST)の２つです。

セキュリティの支援(ESEC)は、セキュリティニーズを特定し対処する活動を扱ったプラクティス領域です。

主に次の3つのグループのセキュリティニーズを扱います。
・物理的セキュリティのニーズ
・ミッション、人員、およびプロセス関連のセキュリティニーズ
・サイバーセキュリティのニーズ

「サイバーセキュリティ」とか「情報セキュリティ」とかいう用語をよく聞くと思いますが、CMMIではサイバーセキュリティは情報セキュリティの一部として扱われます。

セキュリティの脅威と脆弱性の管理(MST)は、セキュリティの脅威と脆弱性を特定し、評価し、対処する活動を扱ったプラクティス領域です。

MSTには、レベル4のプラクティスがあります。統計的技法およびその他の定量的技法を使用して、脅威インテリジェンス分析を行います。

アプレイザルのときには、組織単位がセキュリティに関連するプロセスを実行している場合、ESECとMSTはアプレイザル範囲の中に入れるべきです。「shall」ではなく「Should」です。

以下にプラクティスを載せておきますので参考にしてください。

セキュリティの支援(ESEC)
レベル1
　ESEC 1.1 セキュリティのニーズと課題を特定し、記録する。
　ESEC 1.2 優先付けされたセキュリティのニーズと課題に対処する。
レベル2
　ESEC 2.1 セキュリティのニーズを特定し、最新に保ち、セキュリティのアプローチと目標を作成するために使用する。
　ESEC 2.2 物理的セキュリティのニーズに対処するためのアプローチを作成し、最新に保ち、それに従う。
　ESEC 2.3 ミッション、人員、およびプロセス関連のセキュリティニーズに対処するためのアプローチを作成し、最新に保ち、それに従う。
　ESEC 2.4 サイバーセキュリティのニーズに対処するためのアプローチを作成し、最新に保ち、それに従う。
レベル3
　ESEC 3.1 組織のセキュリティ運用能力を確立し、展開する。
　ESEC 3.2 組織のセキュリティ戦略、アプローチ、およびアーキテクチャを作成し、それに従い、実装し、最新に保つ。
　ESEC 3.3 組織全体で定期的にセキュリティのレビューと評価を実行し、結果に対して処置を講じる。

セキュリティの脅威と脆弱性の管理(MST)
レベル1
　MST 1.1 セキュリティの脅威と脆弱性を特定し、記録する。
　MST 1.2 セキュリティの脅威と脆弱性に対処するための処置を講じる。
レベル2
　MST 2.1 セキュリティの脅威と脆弱性を処理するためのアプローチを作成し、最新に保ち、それに従う。
　MST 2.2 セキュリティの脅威と脆弱性を評価するための基準を作成し、最新に保つ。
　MST 2.3 記録された基準を使用して、運用中に発生する最も重大なセキュリティの脅威と脆弱性に優先順位をつけ、監視し、対処する。
　MST 2.4 ソリューションに対する重大なセキュリティの脅威と脆弱性に対処するために行われたアプローチと処置の有効性を評価する。
レベル3
　MST 3.1 脅威と脆弱性を評価し、管理し、検証するために、組織のセキュリティ戦略、アプローチ、およびアーキテクチャを作成し、最新に保ち、それに従う。
　MST 3.2 組織全体にわたり正確性、比較可能性、一貫性、および妥当性を保証するために、セキュリティの検証と妥当性確認の結果を分析する。
　MST 3.3 セキュリティの脅威と脆弱性に対処するための組織のセキュリティ戦略、アプローチ、およびアーキテクチャの有効性を評価する。
レベル4
　MST 4.1 統計的技法およびその他の定量的技法を使用して、ソリューションのセキュリティアプローチとアーキテクチャを作成し、改善し、脅威と脆弱性に対処するセキュリティソリューションを選択するために、脅威インテリジェンス分析を採用する。