読み方 : シムスリー

SIM3【Security Incident Management Maturity Model】

概要

SIM3とは、CSIRTの組織的な成熟度を評価するためのモデル。インシデント対応能力がどの程度整備されているかを客観的に測定し、改善につなげるための指標として活用される。
SIM3のイメージ画像

CSIRTComputer Security Incident Response Team)とは組織内でセキュリティインシデントに対応する専門チームのことであり、企業や官公庁など様々な組織に設置されている。CSIRTの実態は組織によって大きく異なり、専任スタッフを抱える高度な体制を持つものから、兼任担当者が緊急時のみ対応する簡易的なものまで幅広い。SIM3はこうした多様なCSIRTの成熟度を評価する共通の尺度として考案された。

SIM3の評価は「組織」(Organisation)、「人材」(Human)、「ツール」(Tools)、「プロセス」(Processes)という4つのカテゴリに分類された合計45の評価項目で構成される。各項目はレベル0から4の5段階で成熟度を評価する。レベル0は該当する要素が存在しない状態を示し、レベル4は継続的な改善サイクルが確立された最も成熟した状態を示す。

具体的な評価項目の例としては、インシデント対応手順の文書化、訓練の実施状況、外部組織との情報共有体制、使用するツールの整備状況などが含まれる。これらを網羅的に評価することで、CSIRTとしての強みと弱点を可視化し、優先的に取り組むべき改善領域を特定することができる。

SIM3の仕様は業界団体のOpen CSIRT Foundationが策定している。欧州では「Trusted Introducer」と呼ばれる国際的に信用できるCSIRT認証プロセスにも活用されており、一定の成熟度レベルを達成したCSIRT認証を取得することができる。日本でもJPCERT/CCをはじめとする組織がSIM3を参照しており、国内のCSIRT成熟度向上に向けた取り組みの指針として広まっている。

この記事の著者 : (株)インセプト IT用語辞典 e-Words 編集部
1997年8月より「IT用語辞典 e-Words」を執筆・編集しています。累計公開記事数は1万ページ以上、累計サイト訪問者数は1億人以上です。学術論文や官公庁の資料などへも多数の記事が引用・参照されています。