セキュリティ成熟度モデル せきゅりてぃせいじゅくどもでる
簡単に言うとこんな感じ!
会社のセキュリティ対策が「どのレベルにあるか」を5段階くらいで測る通知表みたいなものだよ!「まだ何もやってない」から「完璧に管理できてる」まで自社の今の実力を把握して、次に何をすべきか道筋を示してくれるんだ。
セキュリティ成熟度モデルとは
セキュリティ成熟度モデル(Security Maturity Model) とは、組織のセキュリティ対策がどの程度整備・定着しているかを段階的なレベルで評価・可視化するためのフレームワークです。一般的に「レベル1(初期)」から「レベル5(最適化)」のような段階で構成され、現在地の確認と改善目標の設定に使われます。
このモデルの最大の特徴は、セキュリティを「あるかないか」の二択ではなく、継続的に改善していくプロセスとして捉える点です。対策を導入するだけでなく、文書化・定期的なレビュー・全社的な定着まで含めて評価します。発注担当者の視点では「ベンダーや自社のセキュリティ体制がどの程度信頼できるか」を判断する共通言語として非常に役立ちます。
実務では、セキュリティ投資の優先順位付け、経営層への現状報告、取引先の審査基準、あるいは政府・官公庁案件の入札要件としても活用されています。NIST CSF(サイバーセキュリティフレームワーク) や CMMC(サイバーセキュリティ成熟度モデル認定) など、業界標準として広く採用されているモデルが複数存在します。
成熟度レベルの構造
ほとんどのモデルは5段階構成を採用しており、下から上へと「場当たり対応」から「継続改善」へと成長していきます。
| レベル | 名称 | 状態の特徴 | 典型的な企業像 |
|---|---|---|---|
| 1 | 初期(Initial) | 対策が属人的・場当たり的 | 担当者任せ、文書なし |
| 2 | 管理(Managed) | 基本的なプロセスが存在する | 一部ルールはあるが浸透せず |
| 3 | 定義(Defined) | 組織全体で標準化・文書化済み | 規程・手順書が整備されている |
| 4 | 定量的管理(Quantitative) | 指標で測定・モニタリング中 | KPIで管理・定期レビューあり |
| 5 | 最適化(Optimizing) | 継続的に改善・進化している | インシデントを学習に変換できる |
覚え方:「初め管定量最適」
「初め(初期)→管(管理)→定(定義)→量(定量的)→最適(最適化)」と頭文字をつなげると覚えやすいです。
主要モデルの比較
| モデル名 | 発行元 | 主な用途 | 段階数 |
|---|---|---|---|
| CMMC 2.0 | 米国防総省(DoD) | 防衛関連企業の認定 | 3段階 |
| C2M2 | 米国エネルギー省 | 重要インフラ向け | 4段階(MIL1〜3+) |
| NIST CSF | NIST | 全業種向け汎用 | Tier 1〜4 |
| SSE-CMM | ISO/IEC 21827 | セキュリティエンジニアリング | 5段階 |
| 情報セキュリティ管理基準 | 経済産業省 | 国内企業向け | 独自基準 |
歴史と背景
- 1991年 — ソフトウェア品質管理のフレームワーク CMM(Capability Maturity Model) が米カーネギーメロン大学SEIによって発表。「成熟度モデル」の概念はここが起源
- 2002年 — CMM を発展させた CMMI(Capability Maturity Model Integration) が登場し、プロセス改善の標準として普及
- 2014年 — 米NIST が NIST Cybersecurity Framework(CSF) を初版公開。セキュリティ対策を5機能(特定・防御・検知・対応・復旧)×成熟度で評価する枠組みを提示
- 2017年 — 米エネルギー省が電力・エネルギー業界向けに C2M2(Cybersecurity Capability Maturity Model) を公開
- 2019年 — 米国防総省が防衛産業サプライチェーン向けに CMMC を発表。下請け企業も認証必須という強制力ある仕組みとして注目を集める
- 2021年 — CMMC 2.0 へ改訂。3段階に簡素化し、NIST SP 800-171 と整合
- 2024年 — NIST CSF 2.0 公開。「ガバナンス」機能が追加され、経営層の関与をより強く求める内容に改訂
- 国内でも IPA(情報処理推進機構)が「情報セキュリティ対策ベンチマーク」などを提供し、中小企業向けの自己評価ツールとして普及しつつある
主要モデルの構造比較
代表的な2つのモデル(NIST CSF と CMMC)の関係を視覚的に整理します。
NIST CSF 2.0 の6機能フレームワーク
NIST CSF はセキュリティ活動を以下の6つの機能(Function)に分類し、それぞれに成熟度(Tier)を掛け合わせて評価します。
┌─────────────────────────────────────────────────────────┐
│ NIST CSF 2.0 の6機能 │
├──────────┬──────────────────────────────────────────── │
│ GOVERN │ 統治・方針・リスク管理戦略の確立 ★2.0で追加 │
│ IDENTIFY │ 資産・リスクの特定と評価 │
│ PROTECT │ アクセス制御・データ保護・教育訓練 │
│ DETECT │ 異常検知・継続的モニタリング │
│ RESPOND │ インシデント対応・コミュニケーション │
│ RECOVER │ 復旧計画・改善・教訓の反映 │
└──────────┴──────────────────────────────────────────── │関連する規格・RFC
| 規格・番号 | 内容 |
|---|---|
| NIST SP 800-171 | 非連邦システムにおける管理対象非機密情報(CUI)の保護要件。CMMC Level 2の基盤 |
| NIST SP 800-172 | 高度な持続的脅威(APT)に対応するための強化セキュリティ要件。CMMC Level 3の基盤 |
| ISO/IEC 21827 | SSE-CMM(システムセキュリティエンジニアリング能力成熟度モデル)の国際規格 |
| ISO/IEC 27001 | 情報セキュリティマネジメントシステム(ISMS)の国際規格。成熟度評価の基盤にも活用 |
関連用語
- NIST サイバーセキュリティフレームワーク — 米国標準技術研究所が策定したセキュリティ対策の汎用フレームワーク
- CMMC — 米国防総省の防衛産業サプライチェーン向けサイバーセキュリティ認定制度
- ISMS — 情報セキュリティマネジメントシステム。ISO/IEC 27001 に基づく体系的なセキュリティ管理の枠組み
- リスクアセスメント — 組織の情報資産に対する脅威・脆弱性を特定し優先度を評価するプロセス
- ゼロトラスト — 「信頼しない、常に検証する」を原則とするセキュリティアーキテクチャの考え方
- インシデントレスポンス — セキュリティインシデント発生時の対応手順・体制の整備
- セキュリティガバナンス — 経営レベルでセキュリティ方針を策定・監督する仕組みと責任体制
- PDCA サイクル — 計画・実行・評価・改善を繰り返す継続的改善の基本的フレームワーク