ストーリー
田
田中VPoE
メトリクスとダッシュボードの設計ができた。最後に「成熟度モデル」だ。メトリクスは現在の状態を示すが、成熟度モデルは「どこに向かうべきか」のロードマップを示す
あなた
組織のセキュリティレベルを評価するフレームワークですか
あ
田
田中VPoE
そうだ。OWASP SAMMやBSIMMが代表的だ。現在地を評価し、目標レベルを設定し、そこに到達するための具体的なアクションを導出する。メトリクスが「体温計」なら、成熟度モデルは「健康診断票」だ
OWASP SAMM(Software Assurance Maturity Model)
SAMMの5つのビジネス機能
| ビジネス機能 | 概要 | プラクティス |
|---|---|---|
| Governance | セキュリティ戦略と管理 | 戦略とメトリクス、ポリシーとコンプライアンス、教育とガイダンス |
| Design | セキュアな設計 | 脅威モデリング、セキュリティ要件、セキュリティアーキテクチャ |
| Implementation | セキュアな実装 | セキュアビルド、セキュアデプロイ、欠陥管理 |
| Verification | セキュリティ検証 | アーキテクチャ評価、要件テスト、セキュリティテスト |
| Operations | セキュア運用 | インシデント管理、環境管理、運用管理 |
成熟度レベル
| レベル | 状態 | 特徴 |
|---|---|---|
| Level 0 | 未実施 | セキュリティ活動が存在しない |
| Level 1 | 初期的 | アドホックに一部の活動を実施 |
| Level 2 | 体系的 | 定義されたプロセスに基づいて組織的に実施 |
| Level 3 | 最適化 | 継続的に計測・改善し、高度な自動化を実現 |
PayConnectの成熟度評価例
| プラクティス | 現在のレベル | 目標レベル(1年後) | ギャップ |
|---|---|---|---|
| 脅威モデリング | 0 → 1 | 2 | 脅威モデリングプロセスの確立 |
| セキュリティ要件 | 1 | 2 | 要件のトレーサビリティ確保 |
| セキュアビルド | 1 → 2 | 3 | SAST/SCA の全リポジトリ展開 |
| セキュリティテスト | 1 | 2 | DAST の定期実行 |
| インシデント管理 | 1 | 2 | インシデント対応手順の文書化 |
| 環境管理 | 0 → 1 | 2 | シークレット管理基盤の構築 |
DevSecOps成熟度モデル(実践的モデル)
5段階の成熟度
| レベル | 名称 | 特徴 | 代表的な組織 |
|---|---|---|---|
| L1 | Reactive | セキュリティは後付け。インシデント発生時のみ対応 | セキュリティ未着手の組織 |
| L2 | Managed | 基本的なセキュリティツール導入。手動レビュー中心 | SASTを導入したばかりの組織 |
| L3 | Defined | セキュリティがCI/CDに統合。ポリシーが定義されている | DevSecOps導入途中の組織 |
| L4 | Measured | メトリクスで状態を計測。継続的な改善サイクル | DevSecOps成熟期の組織 |
| L5 | Optimized | AI/ML活用、自動修復、プロアクティブな脅威対応 | セキュリティ先進企業 |
レベル別のチェックリスト
L1 → L2 への移行チェック:
□ SASTツールの導入(1つ以上のリポジトリ)
□ SCAツールの導入(依存ライブラリのスキャン)
□ シークレットスキャンの導入
□ セキュリティガイドラインの作成
L2 → L3 への移行チェック:
□ SAST/SCA がCI/CDに統合されている
□ セキュリティゲートポリシーが定義されている
□ DASTが定期的に実行されている
□ シークレット管理サービスを使用している
□ セキュリティ要件が文書化されている
L3 → L4 への移行チェック:
□ セキュリティメトリクスが定義・計測されている
□ セキュリティダッシュボードが運用されている
□ MTTRのSLA目標が設定され、追跡されている
□ コンプライアンスチェックが自動化されている
□ セキュリティレビューが月次で実施されている
L4 → L5 への移行チェック:
□ 脆弱性の自動修復(Auto-fix)が一部実現
□ 異常検出(Anomaly Detection)が稼働
□ 脅威インテリジェンスの自動取り込み
□ セキュリティの投資対効果(ROI)を定量化
□ セキュリティチャンピオンプログラムが定着ロードマップの策定
12ヶ月ロードマップの例
| 期間 | フォーカス | 到達レベル |
|---|---|---|
| Month 1-3 | SAST/SCA/シークレットスキャンのCI/CD統合 | L2 → L3 |
| Month 4-6 | DAST統合、シークレット管理基盤、ゲートポリシー | L3 |
| Month 7-9 | メトリクス計測、ダッシュボード構築、SLA設定 | L3 → L4 |
| Month 10-12 | コンプライアンス自動化、成熟度評価、改善計画 | L4 |
「1年でL1からL5を目指すのは非現実的だ。L3をしっかり固めて、L4を目指す。それだけで業界平均を大きく上回るセキュリティ体制になる」 — 田中VPoE
まとめ
| ポイント | 内容 |
|---|---|
| OWASP SAMM | 5つのビジネス機能 x 3レベルで成熟度を評価 |
| DevSecOps成熟度 | L1(Reactive)からL5(Optimized)の5段階 |
| ギャップ分析 | 現在のレベルと目標レベルの差分から改善計画を策定 |
| ロードマップ | 12ヶ月単位で段階的にレベルアップを目指す |
チェックリスト
- OWASP SAMMの5つのビジネス機能を説明できる
- DevSecOps成熟度モデルの5段階を理解した
- 自組織の成熟度を評価する方法を理解した
- 成熟度向上のロードマップを策定できる
次のステップへ
次は演習です。PayConnectのセキュリティダッシュボードを設計しましょう。
推定読了時間: 15分