/

ISO/IEC 21827:2008 情報技術—セキュリティ技術—システムセキュリティエンジニアリング—機能成熟度モデル®(SSE-CMM®) | ページ 3

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

0 はじめに

0.1 一般

さまざまな組織が、オペレーティング システム ソフトウェア、セキュリティ管理および実施機能、ソフトウェア、ミドルウェア、またはアプリケーション プログラムなど、コンピュータ プログラムの開発においてセキュリティ エンジニアリングを実践しています。そのため、製品開発者、サービス プロバイダー、システム インテグレーター、システム管理者、さらにはセキュリティ スペシャリストまでもが、適切な方法と実践を必要としています。これらの組織には、高レベルの問題 (運用上の使用やシステム アーキテクチャなど) を扱う組織もあれば、低レベルの問題 (メカニズムの選択や設計など) を扱う組織もあれば、両方を扱う組織もあります。組織は、特定の種類の技術または特殊な状況 (例: 海) に特化している場合があります。

SSE-CMM® は、これらすべての組織向けに設計されています。 SSE-CMM の使用は、ある焦点が別の焦点よりも優れていることや、これらの使用のいずれかが必要であることを意味するものではありません。 SSE-CMM® の使用によって、組織のビジネスの焦点が偏る必要はありません。

組織の焦点に基づいて、定義されたセキュリティ エンジニアリング プラクティスのすべてではなく一部が適用されます。さらに、組織は、モデル内のさまざまなプラクティス間の関係を調べて、適用可能性を判断する必要がある場合があります。以下の例は、さまざまな組織によるソフトウェア、システム、施設の開発および運用に SSE-CMM® を適用する方法を示しています。

この国際規格は、ISO/IEC 15504, 特に ISO/IEC 15504-2 と関係があります。どちらもプロセスの改善と能力成熟度の評価に関係しているためです。ただし、ISO/IEC 15504 は特にソフトウェア プロセスに重点を置いていますが、SSE-CMM はセキュリティに重点を置いています。

この国際規格は、ISO/IEC 15504 の新しいバージョン、特に ISO/IEC 15504-2 と密接な関係があり、そのアプローチと要件と互換性があります。

セキュリティ サービス プロバイダー

リスク評価を実施する組織のプロセス能力を測定するには、いくつかのグループのプラクティスが役立ちます。システムの開発または統合中に、セキュリティの脆弱性を判断および分析し、運用上の影響を評価する能力に関して、組織を評価する必要があります。運用上のケースでは、システムのセキュリティ体制を監視し、セキュリティの脆弱性と脅威を特定して分析し、運用上の影響を評価する能力に関して、組織を評価する必要があります。

対策開発者

対策の開発に重点を置くグループの場合、組織のプロセス能力は、SSE-CMM® プラクティスの組み合わせによって特徴付けられます。このモデルには、セキュリティの脆弱性の特定と分析、運用上の影響の評価、関連する他のグループ (ソフトウェア グループなど) への情報とガイダンスの提供に対処するためのプラクティスが含まれています。対策を策定するサービスを提供するグループは、これらの慣行間の関係を理解する必要があります。

製品開発者

SSE-CMM® には、顧客のセキュリティ ニーズを理解することに重点を置いたプラクティスが含まれています。それらを確認するには、顧客との対話が必要です。製品の場合、製品は特定の顧客とは無関係にアプリオリに開発されるため、顧客は一般的です。この場合、必要に応じて、製品マーケティング グループまたは別のグループを仮想顧客として使用できます。

セキュリティ エンジニアリングの専門家は、製品のコンテキストと製品開発を達成するために使用される方法が、製品自体と同じくらい多様であることを認識しています。ただし、製品の構想、生産、提供、および保守の方法に影響を与えることが知られている製品およびプロジェクトのコンテキストに関連する問題がいくつかあります。特に次の問題は、SSE-CMM® にとって重要です。

  • •顧客ベースのタイプ (製品、システム、またはサービス)
  • •保証要件 (高いか低いか)他の
  • •開発組織と運用組織の両方に対するサポート。

2 つの多様な顧客ベースの違い、保証要件の程度の違い、および SSE-CMM® におけるこれらの違いのそれぞれの影響について、以下で説明します。これらは、組織または業界セグメントがその環境での SSE-CMM® の適切な使用を決定する方法の例として提供されています。

特定の業界セグメント

どの業界も、独自の文化、用語、コミュニケーション スタイルを反映しています。役割の依存関係と組織構造への影響を最小限に抑えることで、SSE-CMM® の概念は、すべての業界セグメントが独自の言語と文化に簡単に翻訳できることが期待されます。

0.2 SSE-CMM® はどのように使用すればよいですか?

SSE-CMM® およびモデルを適用する方法 (つまり、評価方法) は、次の目的で使用することを意図しています。

  • •エンジニアリング組織がセキュリティ エンジニアリング プラクティスを評価し、改善を定義するためのツール。
  • •認証者や評価者などのセキュリティ エンジニアリング評価組織が、システムまたは製品のセキュリティ保証への入力の 1 つとして、組織の能力に対する信頼を確立できる方法。他の
  • •顧客がプロバイダのセキュリティ エンジニアリング能力を評価するための標準メカニズム。

評価の範囲は、評価機関によって定義され、該当する場合は評価者と話し合う必要があります。

モデルと評価方法のユーザーがモデルの適切な適用とその固有の制限を完全に理解している場合、自己改善のためのモデルの適用とサプライヤーの選択に評価手法を使用できます。プロセス評価の使用に関する追加情報は、ISO/IEC 15504-4, 情報技術 - プロセス評価 -にあります。 4: プロセス改善およびプロセス能力決定のための使用に関するガイダンス

0.3 SSE-CMM®を使用するメリット

セキュリティのトレンドは、政府の機密データの保護から、金融取引、契約上の合意、個人情報、インターネットなど、より広範な関心事への移行です。これに対応して、情報を維持および保護する製品、システム、およびサービスが急増しています。これらのセキュリティ製品およびシステムは通常、2 つの方法のいずれかで市場に出されます。時間と費用がかかる評価を行うか、評価を行わないかです。前者の場合、信頼できる製品は、その機能が必要とされ、現在の脅威に対応しなくなった安全なシステムが展開されてから、かなり経ってから市場に出回ることがよくあります。後者の場合、取得者とユーザーは、製品またはシステムの開発者または運用者のセキュリティの主張のみに依存する必要があります。さらに、従来のセキュリティ エンジニアリング サービスは、多くの場合、この警告の請負業者ベースで販売されていました。

この状況では、組織はより成熟した方法でセキュリティ エンジニアリングを実践する必要があります。具体的には、安全なシステムと信頼できる製品の生産と運用には、次の品質が必要です。

  • •継続性 - 以前の取り組みで獲得した知識は、将来の取り組みで使用されます。
  • •再現性 - プロジェクトが成功した取り組みを繰り返すことができるようにする方法。
  • •効率 - 開発者と評価者の両方がより効率的に作業できるようにする方法。他の
  • •保証 - セキュリティのニーズに対応しているという確信。

これらの要件に対応するには、組織がセキュリティ エンジニアリング プラクティスを理解し、改善できるように導くメカニズムが必要です。これらのニーズに対応するために、SSE-CMM® は、安全なシステム、信頼できる製品、およびセキュリティ エンジニアリング サービスの品質と可用性を向上させ、コストを削減することを目標に、セキュリティ エンジニアリングの実践の現状を前進させるために開発されています。具体的には、以下のメリットが想定されます。

エンジニアリング組織の皆様へ

エンジニアリング組織には、システム インテグレーター、アプリケーション開発者、製品ベンダー、およびサービス プロバイダーが含まれます。これらの組織に対する SSE-CMM® の利点は次のとおりです。

  • •反復可能で予測可能なプロセスとプラクティスによる再作業の削減による節約。
  • •特に情報源の選択において、実行する真の能力に対する功績。他の
  • •測定された組織の能力 (成熟度) と改善に焦点を当てます。

組織を取得するには:

取得者には、外部/内部ソースおよびエンド ユーザーからシステム、製品、およびサービスを取得する組織が含まれます。これらの組織に対する SSE-CMM® の利点は次のとおりです。

  • •提案文言および評価手段の再利用可能な標準要求。
  • •資格のない入札者を選択するリスク (パフォーマンス、コスト、スケジュール) の軽減。
  • •業界標準に基づく統一評価による抗議の減少。他の
  • •製品またはサービスに対する予測可能で再現可能なレベルの信頼。

評価機関の皆様へ:

評価機関には、システム認証者、システム認定者、製品評価者、および製品評価者が含まれます。これらの組織に対する SSE-CMM® の利点は次のとおりです。

  • •システムや製品の変更に関係なく、再利用可能なプロセス評価結果。
  • •セキュリティ エンジニアリングと他の分野との統合に対する信頼。他の
  • •証拠に対する機能ベースの信頼性により、セキュリティ評価の作業負荷が軽減されます。

0 Introduction

0.1 General

A wide variety of organizations practice security engineering in the development of computer programs, whether as operating systems software, security managing and enforcing functions, software, middleware or applications programs. Appropriate methods and practices are therefore required by product developers, service providers, system integrators, system administrators, and even security specialists. Some of these organizations deal with high-level issues (e.g., ones dealing with operational use or system architecture), others focus on low-level issues (e.g., mechanism selection or design), and some do both. Organizations may specialize in a particular type of technology or a specialized context (e.g., at sea).

The SSE-CMM® is designed for all these organizations. Use of the SSE-CMM should not imply that one focus is better than another or that any of these uses are required. An organization's business focus need not be biased by use of the SSE-CMM®.

Based on the focus of the organization, some, but not all, of the security engineering practices defined will apply. In addition, the organization may need to look at relationships between different practices within the model to determine their applicability. The examples below illustrate ways in which the SSE-CMM® may be applied to software, systems, facilities development and operation by a variety of different organizations.

This International Standard has a relationship to ISO/IEC 15504, particularly ISO/IEC 15504-2, as both are concerned with process improvement and capability maturity assessment. However, ISO/IEC 15504 is specifically focused on software processes, whereas the SSE-CMM is focused on security.

This International Standard has a closer relationship with the new versions of ISO/IEC 15504, particularly ISO/IEC 15504-2, and is compatible with its approaches and requirements.

Security service providers

To measure the process capability of an organization that performs risk assessments, several groups of practices come into play. During system development or integration, one would need to assess the organization with regard to its ability to determine and analyze security vulnerabilities and assess the operational impacts. In the operational case, one would need to assess the organization with regard to its ability to monitor the security posture of the system, identify and analyze security vulnerabilities and threats, and assess the operational impacts.

Countermeasure developers

In the case of a group that focuses on the development of countermeasures, the process capability of an organization would be characterized by a combination of SSE-CMM® practices. The model contains practices to address determining and analyzing security vulnerabilities, assessing operational impacts, and providing input and guidance to other groups involved (such as a software group). The group that provides the service of developing countermeasures needs to understand the relationships between these practices.

Product developers

The SSE-CMM® includes practices that focus on gaining an understanding of the customer's security needs. Interaction with the customer is required to ascertain them. In the case of a product, the customer is generic as the product is developed a priori independent of a specific customer. When this is the case, the product marketing group or another group can be used as the hypothetical customer, if one is required.

Practitioners in security engineering recognize that the product contexts and the methods used to accomplish product development are as varied as the products themselves. However, there are some issues related to product and project context that are known to have an impact on the way products are conceived, produced, delivered and maintained. The following issues in particular have significance for the SSE-CMM®:

  • • type of customer base (products, systems, or services);
  • • assurance requirements (high vs. low); and
  • • support for both development and operational organizations.

The differences between two diverse customer bases, differing degrees of assurance requirements, and the impacts of each of these differences in the SSE-CMM® are discussed below. These are provided as an example of how an organization or industry segment might determine appropriate use of the SSE-CMM® in their environment.

Specific industry segments

Every industry reflects its own particular culture, terminology and communication style. By minimizing the role dependencies and organization structure implications, it is anticipated that the SSE-CMM® concepts can be easily translated by all industry segments into their own language and culture.

0.2 How should the SSE-CMM® be used?

The SSE-CMM® and the method for applying the model (i.e., appraisal method) are intended to be used as a:

  • • tool for engineering organizations to evaluate their security engineering practices and define improvements;
  • • method by which security engineering evaluation organizations such as certifiers and evaluators can establish confidence in the organizational capability as one input to system or product security assurance; and
  • • standard mechanism for customers to evaluate a provider's security engineering capability.

The scope of the assessment should be defined by the assessment organization and discussed with the assessor, if applicable.

The appraisal techniques can be used in applying the model for self improvement and in selecting suppliers, if the users of the model and appraisal methods thoroughly understand the proper application of the model and its inherent limitations. Additional information on using process assessment can be found in ISO/IEC 15504-4, Information technology - Process assessment - 4: Guidance on use for process improvement and process capability determination.

0.3 Benefits of using the SSE-CMM®

The trend for security is a shift from protecting classified government data to a broader spectrum of concerns including financial transactions, contractual agreements, personal information and the Internet. A corresponding proliferation of products, systems and services that maintain and protect information has emerged. These security products and systems typically come to market in one of two ways: through lengthy and expensive evaluation or without evaluation. In the former case, trusted products often reach the market long after their features are needed and secure systems are being deployed that no longer address current threats. In the latter case, acquirers and users must rely solely on the security claims of the product or system developer or operator. Further, security engineering services traditionally were often marketed on this caveat emptor basis.

This situation calls for organizations to practice security engineering in a more mature manner. Specifically, the following qualities are needed in the production and operation of secure systems and trusted products:

  • • continuity - knowledge acquired in previous efforts is used in future efforts;
  • • repeatability - a way to ensure that projects can repeat a successful effort;
  • • efficiency - a way to help both developers and evaluators work more efficiently; and
  • • assurance - confidence that security needs are being addressed.

To provide for these requirements, a mechanism is needed to guide organizations in understanding and improving their security engineering practices. To address these needs, the SSE-CMM® is being developed to advance the state of the practice of security engineering with the goal of improving the quality and availability of and reducing the cost of delivering secure systems, trusted products and security engineering services. In particular, the following benefits are envisioned.

To engineering organizations:

Engineering organizations include System Integrators, Application Developers, Product Vendors and Service Providers. Benefits of the SSE-CMM® to these organizations include:

  • • savings with less rework from repeatable, predictable processes and practices;
  • • credit for true capability to perform, particularly in source selections; and
  • • focus on measured organizational competency (maturity) and improvements.

To acquiring organizations:

Acquirers include organizations acquiring systems, products and services from external/internal sources and end users. Benefits of the SSE-CMM® to these organizations include:

  • • reusable standard Request for Proposal language and evaluation means;
  • • reduced risks (performance, cost, schedule) of choosing an unqualified bidder;
  • • fewer protests due to uniform assessments based on industry standard; and
  • • predictable, repeatable level of confidence in product or service.

To evaluation organizations:

Evaluation organizations include system certifiers, system accreditors, product evaluators, and product assessors. Benefits of the SSE-CMM® to these organizations include:

  • • reusable process appraisal results, independent of system or product changes;
  • • confidence in security engineering and its integration with other disciplines; and
  • • capability-based confidence in evidence, reducing security evaluation workload.

ISO PDF プレビュー