ENISA CSIRT成熟度フレームワークの改訂

こんにちは、丸山満彦です。

ENISAがCSIRT成熟度フレームワークの改訂版を公表していますね。。。

● ENISA

・2022.02.23 (press) CSIRTs Maturity: Moving to the Next Level

CSIRTs Maturity: Moving to the Next Level	CSIRTの成熟度：次のレベルへ
The European Union Agency for Cybersecurity issues a new version of the CSIRT maturity framework to improve national CSIRTs capacity.	欧州連合サイバーセキュリティ機関は、各国のCSIRTの能力向上を目的としたCSIRT成熟度フレームワークの新バージョンを発行しました。
<data-diazo="news-body">The maturity framework released today builds upon the existing maturity framework developed in 2019 by the European Union Agency for Cybersecurity, ENISA, for the Cybersecurity Incident Response Teams (CSIRTs).	本日発表された成熟度フレームワークは、欧州連合サイバーセキュリティ庁（ENISA）が2019年に開発した、サイバーセキュリティ・インシデント・レスポンス・チーム（CSIRT）のための既存の成熟度フレームワークに基づいています。
The CSIRT maturity framework is used by the CSIRTs Network members to understand, maintain and improve their maturity. The framework is intended to contribute to the enhancement of cyber incident management capacity, with a focus on national CSIRTs.	CSIRTの成熟度フレームワークは、CSIRTのネットワークメンバーがその成熟度を理解し、維持し、改善するために使用されます。このフレームワークは、各国のCSIRTに焦点を当て、サイバーインシデント管理能力の強化に貢献することを目的としています。
CSIRTs can therefore assess the level of their maturity thanks to the tailored assessment methodology developed by ENISA.	CSIRTは、ENISAが開発した評価手法を用いて、自らの成熟度を評価することができます。
The new version of the maturity framework includes an additional parameter of Public Media Policy and the remaining 44 parameters of the Open CSIRT Foundation “SIM3” standard have been reviewed. SIM3 stands for Security Incident Management Maturity Model and has been in use since 2008 by the different CSIRT communities. ENISA uses this maturity standard as baseline for the framework it developed. The parameters consists of attributes relevant for the organisation, operation or functioning of a CSIRT and are classified into the following categories: organisational, human, tools and processes.	成熟度フレームワークの新バージョンでは、パブリックメディアポリシーのパラメータが追加され、オープンCSIRT財団の「SIM3」規格の残りの44のパラメータが見直されました。SIM3はSecurity Incident Management Maturity Modelの略で、2008年からさまざまなCSIRTコミュニティで使用されています。ENISAはこの成熟度基準を自分たちが開発したフレームワークのベースラインとして使用しています。パラメータは CSIRT の組織、運営、機能に関連する属性で構成されており、組織、人、ツール、プロセスの属性に分類されています。
In the EU, national CSIRTs are encouraged to develop their maturity on the basis of the ENISA CSIRT three-tier maturity approach, which is based on SIM3.	EU では、各国の CSIRT は SIM3 をベースにした ENISA CSIRT の 3 段階の成熟度アプローチに基づいて成熟度を高めていくことが推奨されています。
The evolution of the framework also follows the necessity to meet the requirements of the Directive on Network and Information Security (NISD) on CSIRT capabilities and takes into account the proposed requirements relevant to CSIRTs foreseen in the revision of the NIS Directive.	また、フレームワークの進化は、CSIRTの能力に関するネットワークと情報セキュリティに関する指令（NISD）の要件を満たす必要性に従っており、NIS指令の改訂で予見されたCSIRTに関連する提案された要件を考慮に入れています。
Also aimed at entities involved in the planning, building and leading of such capacities, the framework is also suitable for other type of CSIRTs such as from multinational or sectoral organisations, universities, hospitals or government agencies.	また、このフレームワークは、このような能力の計画、構築、指導に携わる団体を対象としており、多国籍または部門別の組織、大学、病院、政府機関などの他のタイプのCSIRTにも適しています。
Background	背景
The activities of ENISA in support of the CSIRTs Network are provided for by the Cybersecurity Act. ENISA supports the cooperation of the network and provides secretariat services. The network supports members to improve the handling of cross-border incidents and the coordinated response to specific incidents. The CSIRTs Network is a network composed of EU Member States’ appointed CSIRTs and CERT-EU (“CSIRTs Network members”). The European Commission participates in the network as an observer.	CSIRTネットワークを支援するENISAの活動は、サイバーセキュリティ法で規定されています。ENISAはネットワークの協力を支援し、事務局サービスを提供します。ネットワークは、国境を越えたインシデントへの対応や、特定のインシデントへの協調した対応を向上させるためにメンバーを支援しています。CSIRTネットワークは、EU加盟国が任命したCSIRTとCERT-EU（以下、CSIRTsネットワークメンバー）で構成されるネットワークです。欧州委員会は同ネットワークにオブザーバーとして参加しています。
The Directive on Security of Network and Information Systems (or NIS Directive) provides legal measures to boost the overall level of cybersecurity in the EU. The revised version proposes more stringent supervision measures and enforcement, including administrative sanctions, such as fines for breach of the cybersecurity risk management and reporting obligations.	「ネットワークと情報システムのセキュリティに関する指令（NIS指令）」は、EUにおけるサイバーセキュリティの全体的なレベルを高めるための法的措置を定めています。改訂版では、サイバーセキュリティのリスク管理と報告義務の違反に対する罰金などの行政処分を含む、より厳格な監督措置と執行を提案しています。
Further Information	関連情報
ENISA CSIRT Maturity Framework Updated & Improved – February 2022	ENISA CSIRT成熟度フレームワーク 更新・改良版 - 2022年2月
CSIRT maturity: Self-assessment tool	CSIRTの成熟度を 自己評価ツール
CSIRT Capabilities and Maturity – ENISA topic	CSIRTの能力と成熟度 - ENISAトピック
CSIRTs Network	CSIRTネットワーク
CSIRTs by Country – Interactive Map	国別CSIRT - インタラクティブマップ

 

・2022.02.23 ENISA CSIRT Maturity Framework - Updated and improved

ENISA CSIRT Maturity Framework - Updated and improved	ENISA CSIRT 成熟度フレームワーク - 更新・改良版
This document presents the updated and improved version of ENISA’s Computer Security Incident Response Teams (CSIRT) Maturity Framework that is intended to contribute to the enhancement of the capacity to manage cyber incidents, with a focus on national CSIRTs.	この文書は、ENISAのコンピュータ・セキュリティ・インシデント・レスポンス・チーム（CSIRT）の成熟度フレームワークの更新された改良版を示しています。このフレームワークは、各国のCSIRTに焦点を当てて、サイバーインシデントを管理する能力の強化に貢献することを目的としている。

・[PDF] 

目次です...

EXECUTIVE SUMMARY	エグゼクティブ・サマリー
1. INTRODUCTION	1. 序論
1.1 DEPRECATION STATEMENT	1.1 廃止の声明
2. ENISA CSIRT MATURITY FRAMEWORK	2. ENISA CSIRT 成熟度フレームワーク
2.1 3.1 SECURITY INCIDENT MANAGEMENT MATURITY MODEL (SIM3)	2.1 3.1 セキュリティ・インシデント管理成熟度モデル（SIM3）
2.2 CSIRT MATURITY STEPS – THREE-TIER APPROACH	2.2 csirt の成熟度ステップ - 3 層アプローチ
2.3 3.3 ASSESSMENT METHODOLOGY	2.3 3.3 評価方法
3. CONCLUDING REMARKS	3. 結びの言葉
4. REFERENCES	4. 参考文献
5. APPENDICES	5. 添付資料
5.1 APPENDIX A: FAQ	5.1 附属書A：よくあるご質問
5.2 APPENDIX B: COMMENTS ON ALIGNMENT TO CYBERSECURITY STRATEGY AND NIS2 DIRECTIVE	5.2 附属書B：サイバーセキュリティ戦略とNIS2指令との整合性に関するコメント
5.3 APPENDIX C: UPDATE OF THREE-TIER MATURITY APPROACH AND SIM3 STANDARD	5.3 附属書C：3層成熟度アプローチとSIM3規格の更新

 

EXECUTIVE SUMMARY	要旨
The ENISA CSIRT Maturity Framework is intended to contribute to the enhancement of the global capacity to manage cyber incidents, with a focus on CSIRTs. Cyber incidents and developments are inherently transnational and effective responses depend on transnational collaboration. The establishment of national CSIRTs[1] is an essential step to facilitate the building of cyber capacity both within and across nations and make it more effective. The ENISA CSIRT Maturity Framework is aimed at parties involved in planning, building and leading such capacities with a concrete focus to increase maturity of all CSIRTs in the CSIRTs Network[2].	ENISA CSIRT成熟度フレームワークは、CSIRTに焦点を当て、サイバーインシデントを管理する世界的な能力の向上に貢献することを目的としています。サイバーインシデントとその発展は本質的に国境を越えたものであり、効果的な対応は国境を越えた協力関係に依存します。国家のCSIRT[1]の設立は、国家内および国家間のサイバー能力の構築を促進し、より効果的なものにするために不可欠なステップです。ENISA CSIRT成熟度フレームワークは、CSIRTネットワーク[2]内のすべてのCSIRTの成熟度を高めることに具体的に焦点を当て、そのような能力の計画、構築、指導に携わる関係者を対象としています。
The ENISA CSIRT Maturity Framework is built on three pillars:	ENISA CSIRT成熟度フレームワークは3つの柱で構成されています。
1.     the well-established OCF SIM3[3] standard;	1. 確立されたOCF SIM3[3]規格。
2.     the ENISA three-tier maturity approach: a series of three pre-defined steps that can be used as a guideline for the steps to be taken to increase maturity, complete with practical guidance on how to work with the Maturity Framework at different phases – from pre-establishment to advanced levels of maturity;	2. ENISAの3層成熟度アプローチ：成熟度を高めるために取るべきステップのガイドラインとして使用できる、事前に定義された3つのステップのシリーズであり、成熟度の事前確立から高度なレベルまで、さまざまな段階で成熟度フレームワークをどのように扱うかについての実践的なガイダンスを含んでいます。
3.     the ENISA assessment methodology: self-assessment and peer-reviews applied in the CSIRTs Network.	3. ENISAの評価方法：CSIRTsネットワークに適用される自己評価とピアレビュー。
It is important to recognise that the framework is not intended to be prescriptive but is meant to support and stimulate national efforts on building and improving the capacity to respond to cyber incidents. However, the steps to maturity that have been defined are based on extensive experience and expertise in the CSIRT community and offer valuable guidance for national CSIRTs with regards to the level of quality to which they aspire. The CSIRT Maturity Framework combines previous models that have been widely recognised and adopted.	このフレームワークは規定を目的としたものではなく、サイバーインシデントへの対応能力の構築と向上に関する各国の取り組みを支援し、刺激することを目的としていることを認識することが重要であります。しかし、定義された成熟度へのステップは、シーサートコミュニティの豊富な経験と専門知識に基づいており、各国のシーサートが目指す品質レベルに関して貴重なガイダンスを提供しています。CSIRT 成熟度フレームワークは、広く認知され採用されている以前のモデルを組み合わせたものです。
In this document the updated and improved version of the Framework is presented. This includes changes to all three pillars mentioned above.	このドキュメントでは、フレームワークの更新された改良版を紹介する。これには、上記の3つの柱すべてに対する変更が含まれています。
1.     Some aspects of SIM3 have been improved upon, and brought up to date – leading to a strong recommendation to OCF[4] to include these in any new drafts of the SIM3 standard.	1.     SIM3 のいくつかの側面が改善され、最新の状態になりました。これにより、OCF[4]に対して、SIM3 標準の新しいドラフトにこれらを含めるように強く推奨します。
2.     The three-tier maturity approach has remained the same as regards terminology, including the terms Basic, Intermediate and Advanced. However the demands on those three steps have been upgraded, in line with the development of the maturity of the CSIRTs Network in the past four years while also reflecting the changing landscape of the NIS Directive[5].	2.     3段階の成熟度アプローチは、基本、中級、上級という用語を含め、用語に関しては変わっていません。しかし、過去 4 年間の CSIRT ネットワークの成熟度の発展に合わせ、また NIS 指令[5]の変化を反映して、これら 3 つのステップに対する要求はアップグレードされました。
3.     The self-assessment and peer-review system received a complete overhaul, with indepth guidance, which is expected to not only make this process easier to work with, but also lead to higher quality and more consistent results.	3.     自己評価とピアレビューのシステムを全面的に見直し、詳細なガイダンスを導入しました。これにより、このプロセスが作業しやすくなるだけでなく、より高品質で一貫性のある結果が得られることが期待されます。

 

[1] The term ‘National CSIRT’ is more closely defined later in the report.
[2] https://www.enisa.europa.eu/topics/csirts-in-europe/csirts-network
[3] http://opencsirt.org/wp-content/uploads/2019/12/SIM3-mkXVIIIc.pdf
[4] https://opencsirt.org/
[5] https://digital-strategy.ec.europa.eu/en/library/revised-directive-security-network-and-information-systems-nis2

 

（2022.04.09 追記）

● Internet Watch

・2022.04.08 ナショナルCSIRTの能力を改善するための「CSIRT成熟度フレームワーク」、新バージョンで更新された内容は？

---

現在、一般に公開されているSIM3v1（最終更新は2019年）と今回の新しいフレームワークで使われているSIM3v2iを比較すると以下のようになります。表の中でセルが薄い灰色の項目が更新されているものです。

• O：Organization
• H：Human
• T：Tools
• P：Processes

---

 

---