製品・ソリューション

第215号:セキュリティに関連するプラクティス領域

2022年2月25日発行

┏━━━━━━━━━━━━━━━━━━━━━━━┳━━━━━━━━━━┓
┃月刊 銀ノ弾丸★ディスパッチャー      ┏┛Optimizing     ┃
┃≪≪プロセス改善のためのCMMI活用≫≫   ┏┛Quantitatively Managed┃
┃                    ┏┛Defined         ┃
┃発行:(株)大和コンピューター     ┏┛Managed          ┃
┗━━━━━━━━━━━━━━━━━━━┻━━━━━━━━━━━━━━┛
難波の地下街で空のコーヒー牛乳のパックを蹴りながら、頭の上にペットボトル
を乗せて歩いている人を見た。いったい何をしているのか? そして、なぜ?
               (CAR 2.1 分析のために実施結果を選定する。)

CONTENTS
■セキュリティに関連するプラクティス領域


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ピーアール
────────────────────────────────────
『CMMI Institute公式 CMMI入門コースV2.0(FOC+BDE)』
CMMI V2.0に関するCMMI Institute公式コースである「Foundations of
Capability(能力の基礎)」と「Building Development Excellence(卓越した開発
力構築)」の2コースを組み合わせて提供するもので、CMMI V2.0のコアとなる要
素と開発の領域についての基礎をご紹介いたします。
日時:2022年 3月 9日(水)~11日(金) 9:00~17:30
https://www.daiwa-computer.co.jp/jp/consulting/seminar/introv2_0
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ピーアール
────────────────────────────────────
『5分でできる! ソフトウエア開発プロジェクトCMMI V2.0 セルフチェック』
CMMIに照らして、自社のソフトウェア開発プロジェクトの状況が簡単にチェック
できます。
https://www.daiwa-computer.co.jp/jp/cmmiselfchk2/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ピーアール
────────────────────────────────────
大和コンピューターは、CMMI Instituteとのパートナ契約の下、公式のCMMIコー
スや、CMMIの成熟度レベルを判定するアプレイザル等のサービスをご提供してお
ります。

▼サービス事例
・組織のメンバにCMMIの概要を伝える、トレーニングコース
・現在のプロセスの改善の機会を明らかにする、ギャップ分析
・改善の機会に対する改善策の検討の参加
・標準プロセスや各種テンプレートの作成活動に対する支援
・御社にインストラクタを派遣して実施するCMMI Institute公式CMMI入門コース

皆様のニーズに柔軟に対応しておりますので、まずはお気軽に下記までご連絡下
さい。
https://www.daiwa-computer.co.jp/jp/consulting/inquiries
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■セキュリティに関連するプラクティス領域
────────────────────────────────────
CMMI V2.2からセキュリティに関連するプラクティス領域が追加されました。

セキュリティの支援(原文では、Enabling Security, ESEC)とセキュリティの脅
威と脆弱性の管理(原文では、Managing Security Threats and Vulnerabilities,
MST)の2つです。

セキュリティの支援(ESEC)は、セキュリティニーズを特定し対処する活動を扱っ
たプラクティス領域です。

主に次の3つのグループのセキュリティニーズを扱います。
・物理的セキュリティのニーズ
・ミッション、人員、およびプロセス関連のセキュリティニーズ
・サイバーセキュリティのニーズ

「サイバーセキュリティ」とか「情報セキュリティ」とかいう用語をよく聞くと
思いますが、CMMIではサイバーセキュリティは情報セキュリティの一部として扱
われます。

セキュリティの脅威と脆弱性の管理(MST)は、セキュリティの脅威と脆弱性を特
定し、評価し、対処する活動を扱ったプラクティス領域です。

MSTには、レベル4のプラクティスがあります。統計的技法およびその他の定量的
技法を使用して、脅威インテリジェンス分析を行います。

アプレイザルのときには、組織単位がセキュリティに関連するプロセスを実行し
ている場合、ESECとMSTはアプレイザル範囲の中に入れるべきです。「shall」で
はなく「Should」です。

以下にプラクティスを載せておきますので参考にしてください。

セキュリティの支援(ESEC)
レベル1
 ESEC 1.1 セキュリティのニーズと課題を特定し、記録する。
 ESEC 1.2 優先付けされたセキュリティのニーズと課題に対処する。
レベル2
 ESEC 2.1 セキュリティのニーズを特定し、最新に保ち、セキュリティのアプ
ローチと目標を作成するために使用する。
 ESEC 2.2 物理的セキュリティのニーズに対処するためのアプローチを作成し、
最新に保ち、それに従う。
 ESEC 2.3 ミッション、人員、およびプロセス関連のセキュリティニーズに対
処するためのアプローチを作成し、最新に保ち、それに従う。
 ESEC 2.4 サイバーセキュリティのニーズに対処するためのアプローチを作成
し、最新に保ち、それに従う。
レベル3
 ESEC 3.1 組織のセキュリティ運用能力を確立し、展開する。
 ESEC 3.2 組織のセキュリティ戦略、アプローチ、およびアーキテクチャを作
成し、それに従い、実装し、最新に保つ。
 ESEC 3.3 組織全体で定期的にセキュリティのレビューと評価を実行し、結果
に対して処置を講じる。

セキュリティの脅威と脆弱性の管理(MST)
レベル1
 MST 1.1 セキュリティの脅威と脆弱性を特定し、記録する。
 MST 1.2 セキュリティの脅威と脆弱性に対処するための処置を講じる。
レベル2
 MST 2.1 セキュリティの脅威と脆弱性を処理するためのアプローチを作成し、
最新に保ち、それに従う。
 MST 2.2 セキュリティの脅威と脆弱性を評価するための基準を作成し、最新に
保つ。
 MST 2.3 記録された基準を使用して、運用中に発生する最も重大なセキュリティ
の脅威と脆弱性に優先順位をつけ、監視し、対処する。
 MST 2.4 ソリューションに対する重大なセキュリティの脅威と脆弱性に対処す
るために行われたアプローチと処置の有効性を評価する。
レベル3
 MST 3.1 脅威と脆弱性を評価し、管理し、検証するために、組織のセキュリティ
戦略、アプローチ、およびアーキテクチャを作成し、最新に保ち、それに従う。
 MST 3.2 組織全体にわたり正確性、比較可能性、一貫性、および妥当性を保証
するために、セキュリティの検証と妥当性確認の結果を分析する。
 MST 3.3 セキュリティの脅威と脆弱性に対処するための組織のセキュリティ戦
略、アプローチ、およびアーキテクチャの有効性を評価する。
レベル4
 MST 4.1 統計的技法およびその他の定量的技法を使用して、ソリューションの
セキュリティアプローチとアーキテクチャを作成し、改善し、脅威と脆弱性に対
処するセキュリティソリューションを選択するために、脅威インテリジェンス分
析を採用する。
                                 (穴田)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
次号は3月25日配信予定です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
CMMIおよびSCAMPIは、CMMI Instituteの登録商標です。
SEPGおよびIDEALは、カーネギーメロン大学のサービスマークです。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
月刊 銀ノ弾丸ディスパッチャー  (毎月25日発行)
編集責任者:今森由佳
発行:株式会社大和コンピューター https://www.daiwa-computer.co.jp/jp/
登録/解除+バックナンバー:
 https://www.daiwa-computer.co.jp/jp/consulting/mailmagazine/
ご意見・お問い合わせ:
 https://www.daiwa-computer.co.jp/jp/consulting/inquiries
本メールは、Windows をお使いの方は MSゴシック、Macintosh をお使いの方は
Osaka等幅などの「等幅フォント」で最適にご覧いただけます。
────────────────────────────────────
 Copyright (C)2004-2022 Daiwa Computer Co., Ltd. All Rights Reserved.
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

人気のある記事

購読はこちらから

CMMI®を実装していくために役立つ情報、CMMI関連のニュースやイベント情報、イベントレポートなどを無料でお届けいたします。また、ソフトウェアプロセス改善についての意見交換の場としても活用していきたいと思っております。
配信は月1回(25日頃)を原則といたします。

まぐまぐ!による配信

読者購読規約

大和コンピューターによる配信 メールアドレスを入力してボタンを押すと登録・解除できます。
個人情報の取り扱いに同意して

個人情報の取り扱い

会社の名称
株式会社大和コンピューター
個人情報保護管理者(若しくはその代理人)の氏名又は職名、所属及び連絡先
個人情報保護管理者代理人
職 名:メルマガ担当
所 属:コンサルティング部
連絡先:〒108-0071 東京都港区白金台2-25-7
電 話:03-3440-1110
利用目的
メールマガジンの配信
個人情報を第三者に提供する予定
個人情報の取扱いの委託を行う予定
下記の求めに応じる問合せ窓口
・開示対象個人情報の利用目的の通知
・開示対象個人情報の開示
・開示対象個人情報の訂正、追加又は削除
・開示対象個人情報の利用又は提供の拒否権
受付窓口
メルマガ担当
連絡先:〒108-0071 東京都港区白金台2-25-7
電 話:03-3440-1110
・受付窓口まで郵便または電話にてご請求下さい。その際、住所、氏名、電話番号を明示して下さい。
・手続きにあたり、本人または代理人確認のために、運転免許書のコピー、健康保険証のコピー、パスポートのコピー等の確認証書1部をご郵送いただくことがございます。なお、その際、代理人の場合は、代理人を証明する委任状の提出も含めてお願いいたします。
・開示等の求めに伴い取得した個人情報は、その対応に必要な範囲でのみ取り扱うものとします。
本人が個人情報を与えることの任意性
任意
当該情報を与えなかった場合に本人に生じる結果
メールが届きません。
本人が容易に認識できない方法による個人情報の取得

お問い合わせ

Copyright® DAIWA COMPUTER CO.,LTD. All Rights Reserved.

ISO認証取得 ISO14001認証取得 ISO27001認証取得 プライバシーマーク付与認定取得 JASDAC証券コード:3816 CMMI Institute Partner CMMI V2.0 成熟度レベル5