サイバー攻撃への対応と言われても、何から始めたらいいかわからないセキュリティ担当者は多いでしょう。セキュリティ対策の第一歩として、NISTサイバーセキュリティフレームワークを活用する方法があります。この記事ではNISTサイバーセキュリティフレームワークの概要と活用のプロセスについて詳しく解説します。
また、企業のセキュリティ対策をお考えの方へ。企業がやるべきセキュリティ対策をまとめたチェックリストを無料で配布しています。あわせてご活用ください。
NISTサイバーセキュリティフレームワークとは
NISTサイバーセキュリティフレームワークとは、2013年2月に公布されたアメリカ合衆国の大統領令に基づき、NIST(米国標準技術研究所:National Institute of Standards and Technology)が作成したサイバーセキュリティ対策のフレームワークのことです。正式には「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」と言われているように、もともとは重要インフラの運用者を対象としているフレームワークです。
CSF(Cyber Security Framework)という略称があり、日本でも企業のサイバーセキュリティ対策を検討するうえで広く活用されています。2018年4月にバージョン1.1が公開されており、IPAがNISTサイバーセキュリティフレームワークの日本語翻訳版を公開しています。
NISTサイバーセキュリティフレームワークの特徴
NISTサイバーセキュリティフレームワークは重要インフラを対象としていますが、実際にはサイバーセキュリティ対策として幅広く活用されることを考慮して、汎用的な項目を網羅しています。企業の業種や規模に関わらず利用方法は各組織の自由です。
NISTサイバーセキュリティフレームワークは、実際に攻撃を受けたときの“検知”や“対応”、“復旧”といった事後対応まで網羅しています。近年では一般的になってきた「サイバー攻撃を受けることを前提とし、いかに復旧するか」という考え方に対応している点が評価され、日本だけでなく世界中の企業や組織で活用されています。
NISTサイバーセキュリティフレームワークのポイント
NISTサイバーセキュリティフレームワークは「コア(Core)」、「ティア(Tier)」、「プロファイル(Profile)」の3つの要素から構成されています。
コア(Core)
組織の種類や規模を問わず共通のサイバーセキュリティ対策・期待される効果・参考情報を示しているのが「コア(Core)」という要素です。
コア(Core)は、識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)の5つの機能と、23個のカテゴリーで構成されています。5つの機能は、その頭文字をつなげて「IPDRR」と呼ばれることもあります。各カテゴリーにはサブカテゴリーがあり、サブカテゴリーの合計は108個です。
近年のサイバー攻撃の高度化に伴い、不正アクセスや被害の発生を未然に防ぐことは難しくなっています。そのため、攻撃や侵入を完全に防御するのは不可能であるという前提で、攻撃からの早期の復旧が重要という考え方がセキュリティ対策の主流となっています。
ティア(Tier)
ティア(Tier)とは、各組織でサイバーセキュリティリスクに関する認識や管理体制を評価するときの基準とする指標です。サイバーセキュリティリスクの管理方法、優先的に取り組むべき施策や追加リソースの割り当てなど、各組織が決定を行うための支援をすることを目的としています。
ティアには以下の4つの定義があります。
| ティア1 | 部分的である(Partial) |
|---|---|
| ティア2 | リスク情報を活用している(Risk Informed) |
| ティア3 | 繰り返し適用可能である(Repeatable) |
| ティア4 | 適応している(Adaptive) |
ティアの数値が高いほど好ましい状態であるかというとそうではありません。自社のビジネス特性や保有している情報資産の実態に応じて、目指すべきティアの数値を設定することが重要です。
プロファイル(Profile)
プロファイル(Profile)とは、組織のサイバーセキュリティ対策の「as is (現在の姿)」と「to be (目指すべき姿)」をまとめたものです。NISTサイバーセキュリティフレームワークはセキュリティ対策のレベルの強化や改善を目的としています。そのためには現在の状態と目標の状態の尺度を合わせておくことが重要です。
コアやティアが汎用的な定義や内容で会ったことに対し、プロファイルは企業や組織の特性や戦略により異なる要素が多いため、具体的なひな形は存在しません。そのためプロファイルの設定にはセキュリティ担当者の手腕が大きく影響します。
プロファイルは具体的には以下のような内容です。
- 組織のビジネス上の要求事項
- リスク許容度
- 割り当て可能なリソースに基づく機能
- カテゴリー
- サブカテゴリー
プロファイルは、法規制上の要求事項に加え、各業界のベストプラクティスも考慮して作成し、サイバーセキュリティ対策のロードマップの策定に利用します。
NISTサイバーセキュリティフレームワークの注意点
NISTサイバーセキュリティフレームワークは、活用する企業や組織によって実施される内容が異なる汎用的なフレームワークであり、指示書やノウハウ集ではないことに注意が必要です。
また米国国防総省は同省と契約する業者に対して、NIST サイバーセキュリティフレームワークの下位概念であるNIST SP 800-171への準拠を求めています。NIST SP 800-171は業務委託先におけるセキュリティ対策のガイドラインであり、NIST サイバーセキュリティフレームワークに基づいて策定されています。
ヨーロッパやASEANなどでも対応が進んでいることから、日本でも同様に準拠が求められることもあるので注意が必要です。
NISTサイバーセキュリティフレームワークの改訂内容
NISTサイバーセキュリティフレームワークは2018年4月に改訂され、Version1.1になりました。この改定で変更された内容は以下の6つです。
| 認証に関する文言変更 | 認証、認可、本人確認に関する文言変更とサブカテゴリーの追加 |
|---|---|
| 自己評価に関する説明追加 | 自己評価の補足説明を追加 |
| 脆弱性情報の開示を考慮 | 開示サイクルのサブカテゴリーを追加 |
| サプライチェーン内のサイバーセキュリティ管理の説明追加 | コアにサプライチェーン内のサイバーセキュリティ管理の説明追加 |
| ティアに関する説明追加 | ティアの概念を洗練しアクションを追加 |
| 用語定義の明確化 | 組織のサイバーセキュリティ上の要求事項を整理し、表現するための構造・言語として利用するために明確化 |
NISTサイバーセキュリティフレームワークのプロセス
NISTサイバーセキュリティフレームワークの具体的な導入プロセスは以下の5つの手順にしたがいます。
特定
サイバー攻撃に対して適切な対策を取るために、サイバー攻撃の種類や対処法など知識を深めるプロセスです。実際にサイバー攻撃にあった時の適切な防御のための知識を知っておくプロセスです。
防御
不正アクセスやマルウェアの感染などから防御するために、ファイアウォールを設置したり、セキュリティ対策ソフトをインストールしたりするプロセスです。
検知
実際にサイバー攻撃を受けた時に素早く検知するためのプロセスです。例えばIPS(不正侵入防止システム)やIDS(不正侵入検知システム)などの機器を利用してサイバー攻撃の検知に利用します。
対応
サイバー攻撃を検知した後に、適切な対応をするプロセスです。早期の対応により被害をできるだけ最小限に食い止められます。
復旧
サイバー攻撃を受けたシステムの被害状況を確認して、被害を受けた箇所の復旧作業を行い、次の攻撃に備えて防御対策を整えるプロセスです。
まとめ
NISTサイバーセキュリティフレームワークの概要と活用方法について紹介しました。
会社の業種や業態によって、セキュリティ対策の実施方法は異なりますが、フレームワークを活用することで、ある程度の形の決まったセキュリティ対策が見えてきます。まずはNISTサイバーセキュリティフレームワークを使って手堅くセキュリティ対策を始めましょう。
