サイバーセキュリティ初心者のためのNIST CSFーCSF 2.0 と具体的な施策
はじめに
こうした状況下において、米国政府機関である米国国立標準技術研究所(National Institute of Standards and Technology、以下NIST)が提供するサイバーセキュリティフレームワーク(Cyber Security Framework、以下CSF)は、組織のサイバーセキュリティ対策を体系的に強化するための指針として、世界中で広く利用されています。
本書ではまずNIST CSFについてご紹介をし、改訂版となるNIST CSF2.0のポイント解説、NIST CSF2.0に沿って弊社アクセリアが提供するソリューションのご紹介をします。
☆このコラムでわかること
・NIST CSFとは何か
・NIST CSF 2.0のリリースについて
・具体的な施策例
NIST CSFとは
Core function
CSFでは、サイバーセキュリティ管理策をそれぞれの機能的特徴から「特定」、「防御」、「検知」、「対応」、「復旧」の5つの要素に分類しており、これをCore functionと呼びます。
Profiles
それぞれのCore functionはさらにカテゴリ/サブカテゴリに細分化され、具体的な要件を定義しています。これにより、フレームワークを活用する担当者は、リスク分析や戦略検討を実施する際に、整理された項目に基づいて現状を洗い出し一覧化することができます。こうして洗い出した「現状どうなっているか」をProfilesと呼びます。表計算ソフトなどを用いて情報を整理する方法をイメージするとわかりやすいかもしれません。
Tier
自組織の現状が整理できたら、それぞれの要件についてあるべき姿を定義し、現在の達成状況を4段階で評価します。この達成状況をTierと呼びます。
CSFを用いることで、これら一連の活動を通して自組織の現在のセキュリティ成熟度を評価することができ、足りない部分はどこなのか、注力すべき部分はどこなのかを検討することができます。
NIST CSF2.0について
ガバナンスは組織のサイバーセキュリティリスク管理戦略、ビジネス主体として満たすべきステークホルダーの期待、ポリシーについて、確立されているか、伝達されているか、監視されているかという要素です。カテゴリとしては「組織の状況」、「リスクマネジメント戦略」、「役割、責任、権限」、「ポリシー」、「監督」、「サイバーセキュリティサプライチェーンリスクマネジメント」の6つのカテゴリに分けられています。
具体的なNIST CSF2.0の施策例
下記の表は、それぞれの施策がCore functionの観点でどのように作用するかについて示しています。ただし、これらはあくまで例であり、組織体制やシステムの状況により実施すべき具体的な施策は異なります。ご自身の組織でどのような施策が有効なのかといったご質問がありましたら、是非お気軽にお問い合わせください。
<表の見方>
・表の番号を確認し、表の下にある同じ数字をクリックすると説明文がポップアップ表示されます
・ポップアップ表示された説明文の見方は下記のとおりです
① セキュリティ診断 > 特定
② セキュリティ診断 > 防御
③ セキュリティ診断 > 検知
④ セキュリティ診断 > 対応
⑤ Webセキュリティ > 防御
⑥ アクセス制御/IDS/NDR/EDR > 防御
⑦ アクセス制御/IDS/NDR/EDR > 検知
⑧ アクセス制御/IDS/NDR/EDR > 対応
⑨ データバックアップ > 防御
⑩ データバックアップ > 復旧
⑪ サイバー保険 > 対応
⑫ サイバー保険 > 復旧
⑬ サイバー保険 > 統治
⑭ セキュリティトレーニング(啓発) > 特定
⑮ セキュリティトレーニング(啓発) > 防御
⑯ セキュリティトレーニング(啓発) > 検知
⑰ セキュリティトレーニング(啓発) > 対応
⑱ セキュリティトレーニング(啓発) > 復旧
⑲ セキュリティトレーニング(啓発) > 統治
⑳ セキュリティトレーニング(専門家育成) > 特定
㉑ セキュリティトレーニング(専門家育成) > 防御
㉒ セキュリティトレーニング(専門家育成) > 検知
㉓ セキュリティトレーニング(専門家育成) > 対応
㉔ セキュリティトレーニング(専門家育成) > 復旧
㉕ セキュリティトレーニング(専門家育成) > 統治
㉖ 組織構築支援 > 特定
㉗ 組織構築支援 > 防御
㉘ 組織構築支援 > 検知
㉙ 組織構築支援 > 対応
㉚ 組織構築支援 > 復旧
㉛ 組織構築支援 > 統治
終わりに
世の中には様々なセキュリティフレームワークやセキュリティガイドラインがありますが、重複なく漏れなくという観点で使いやすいよう抽象化されています。具体的な話となると使う対象(組織)によって個別に検討しなければならない部分が多々あります。
NIST CSFに限らず、様々な観点でセキュリティ施策についてお悩みの点がありましたら、お気軽にお問い合わせください。
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service