サイバーセキュリティ初心者のためのNIST CSFーCSF 2.0 と具体的な施策
はじめに
近年、サイバー攻撃は巧妙化、高度化しており、組織の存続を脅かす事象を引き起こす恐れがあります。
こうした状況下において、米国政府機関である米国国立標準技術研究所(National Institute of Standards and Technology、以下NIST)が提供するサイバーセキュリティフレームワーク(Cyber Security Framework、以下CSF)は、組織のサイバーセキュリティ対策を体系的に強化するための指針として、世界中で広く利用されています。
本書ではまずNIST CSFについてご紹介をし、改訂版となるNIST CSF2.0のポイント解説、NIST CSF2.0に沿って弊社アクセリアが提供するソリューションのご紹介をします。
☆このコラムでわかること
・NIST CSFとは何か
・NIST CSF 2.0のリリースについて
・具体的な施策例
こうした状況下において、米国政府機関である米国国立標準技術研究所(National Institute of Standards and Technology、以下NIST)が提供するサイバーセキュリティフレームワーク(Cyber Security Framework、以下CSF)は、組織のサイバーセキュリティ対策を体系的に強化するための指針として、世界中で広く利用されています。
本書ではまずNIST CSFについてご紹介をし、改訂版となるNIST CSF2.0のポイント解説、NIST CSF2.0に沿って弊社アクセリアが提供するソリューションのご紹介をします。
☆このコラムでわかること
・NIST CSFとは何か
・NIST CSF 2.0のリリースについて
・具体的な施策例
NIST CSFとは
NIST CSFは、組織のセキュリティ対策状況を評価するための枠組み、いわば方法論です。
CSFでは、サイバーセキュリティ管理策をそれぞれの機能的特徴から「特定」、「防御」、「検知」、「対応」、「復旧」の5つの要素に分類しており、これをCore functionと呼びます。
それぞれのCore functionはさらにカテゴリ/サブカテゴリに細分化され、具体的な要件を定義しています。これにより、フレームワークを活用する担当者は、リスク分析や戦略検討を実施する際に、整理された項目に基づいて現状を洗い出し一覧化することができます。こうして洗い出した「現状どうなっているか」をProfilesと呼びます。表計算ソフトなどを用いて情報を整理する方法をイメージするとわかりやすいかもしれません。
自組織の現状が整理できたら、それぞれの要件についてあるべき姿を定義し、現在の達成状況を4段階で評価します。この達成状況をTierと呼びます。
CSFを用いることで、これら一連の活動を通して自組織の現在のセキュリティ成熟度を評価することができ、足りない部分はどこなのか、注力すべき部分はどこなのかを検討することができます。
Core function
CSFでは、サイバーセキュリティ管理策をそれぞれの機能的特徴から「特定」、「防御」、「検知」、「対応」、「復旧」の5つの要素に分類しており、これをCore functionと呼びます。
Profiles
それぞれのCore functionはさらにカテゴリ/サブカテゴリに細分化され、具体的な要件を定義しています。これにより、フレームワークを活用する担当者は、リスク分析や戦略検討を実施する際に、整理された項目に基づいて現状を洗い出し一覧化することができます。こうして洗い出した「現状どうなっているか」をProfilesと呼びます。表計算ソフトなどを用いて情報を整理する方法をイメージするとわかりやすいかもしれません。
Tier
自組織の現状が整理できたら、それぞれの要件についてあるべき姿を定義し、現在の達成状況を4段階で評価します。この達成状況をTierと呼びます。
CSFを用いることで、これら一連の活動を通して自組織の現在のセキュリティ成熟度を評価することができ、足りない部分はどこなのか、注力すべき部分はどこなのかを検討することができます。
NIST CSF2.0について
従来は重要インフラの安全保障を目的に策定されていたCSFですが、幅広い組織で活用されてきたという実態から、規模や業種、対策の成熟度に関係なく、中小企業を含むあらゆる企業や組織での利用が進むようにバージョン2.0が公開されました。サプライチェーンリスクマネジメントの強化の必要性という背景の中で、様々な状況の組織を対象と出来るよう再設計されたNIST CSF 2.0では、実装例、参考情報、クイック・スタート・ガイドといった、フレームワーク活用を手助けするドキュメントが拡充されるとともに、新たなCore functionである「ガバナンス(統治)」が追加されています。
ガバナンスは組織のサイバーセキュリティリスク管理戦略、ビジネス主体として満たすべきステークホルダーの期待、ポリシーについて、確立されているか、伝達されているか、監視されているかという要素です。カテゴリとしては「組織の状況」、「リスクマネジメント戦略」、「役割、責任、権限」、「ポリシー」、「監督」、「サイバーセキュリティサプライチェーンリスクマネジメント」の6つのカテゴリに分けられています。
ガバナンスは組織のサイバーセキュリティリスク管理戦略、ビジネス主体として満たすべきステークホルダーの期待、ポリシーについて、確立されているか、伝達されているか、監視されているかという要素です。カテゴリとしては「組織の状況」、「リスクマネジメント戦略」、「役割、責任、権限」、「ポリシー」、「監督」、「サイバーセキュリティサプライチェーンリスクマネジメント」の6つのカテゴリに分けられています。
具体的なNIST CSF2.0の施策例
本稿では、NIST CSFで提供されているサブカテゴリから更に踏み込んで、具体的な施策の例についてご紹介します。
下記の表は、それぞれの施策がCore functionの観点でどのように作用するかについて示しています。ただし、これらはあくまで例であり、組織体制やシステムの状況により実施すべき具体的な施策は異なります。ご自身の組織でどのような施策が有効なのかといったご質問がありましたら、是非お気軽にお問い合わせください。
<表の見方>
・表の番号を確認し、表の下にある同じ数字をクリックすると説明文がポップアップ表示されます
・ポップアップ表示された説明文の見方は下記のとおりです
① セキュリティ診断 > 特定
② セキュリティ診断 > 防御
③ セキュリティ診断 > 検知
④ セキュリティ診断 > 対応
⑤ Webセキュリティ > 防御
⑥ アクセス制御/IDS/NDR/EDR > 防御
⑦ アクセス制御/IDS/NDR/EDR > 検知
⑧ アクセス制御/IDS/NDR/EDR > 対応
⑨ データバックアップ > 防御
⑩ データバックアップ > 復旧
⑪ サイバー保険 > 対応
⑫ サイバー保険 > 復旧
⑬ サイバー保険 > 統治
⑭ セキュリティトレーニング(啓発) > 特定
⑮ セキュリティトレーニング(啓発) > 防御
⑯ セキュリティトレーニング(啓発) > 検知
⑰ セキュリティトレーニング(啓発) > 対応
⑱ セキュリティトレーニング(啓発) > 復旧
⑲ セキュリティトレーニング(啓発) > 統治
⑳ セキュリティトレーニング(専門家育成) > 特定
㉑ セキュリティトレーニング(専門家育成) > 防御
㉒ セキュリティトレーニング(専門家育成) > 検知
㉓ セキュリティトレーニング(専門家育成) > 対応
㉔ セキュリティトレーニング(専門家育成) > 復旧
㉕ セキュリティトレーニング(専門家育成) > 統治
㉖ 組織構築支援 > 特定
㉗ 組織構築支援 > 防御
㉘ 組織構築支援 > 検知
㉙ 組織構築支援 > 対応
㉚ 組織構築支援 > 復旧
㉛ 組織構築支援 > 統治
下記の表は、それぞれの施策がCore functionの観点でどのように作用するかについて示しています。ただし、これらはあくまで例であり、組織体制やシステムの状況により実施すべき具体的な施策は異なります。ご自身の組織でどのような施策が有効なのかといったご質問がありましたら、是非お気軽にお問い合わせください。
<表の見方>
・表の番号を確認し、表の下にある同じ数字をクリックすると説明文がポップアップ表示されます
・ポップアップ表示された説明文の見方は下記のとおりです
① セキュリティ診断 > 特定
② セキュリティ診断 > 防御
③ セキュリティ診断 > 検知
④ セキュリティ診断 > 対応
⑤ Webセキュリティ > 防御
⑥ アクセス制御/IDS/NDR/EDR > 防御
⑦ アクセス制御/IDS/NDR/EDR > 検知
⑧ アクセス制御/IDS/NDR/EDR > 対応
⑨ データバックアップ > 防御
⑩ データバックアップ > 復旧
⑪ サイバー保険 > 対応
⑫ サイバー保険 > 復旧
⑬ サイバー保険 > 統治
⑭ セキュリティトレーニング(啓発) > 特定
⑮ セキュリティトレーニング(啓発) > 防御
⑯ セキュリティトレーニング(啓発) > 検知
⑰ セキュリティトレーニング(啓発) > 対応
⑱ セキュリティトレーニング(啓発) > 復旧
⑲ セキュリティトレーニング(啓発) > 統治
⑳ セキュリティトレーニング(専門家育成) > 特定
㉑ セキュリティトレーニング(専門家育成) > 防御
㉒ セキュリティトレーニング(専門家育成) > 検知
㉓ セキュリティトレーニング(専門家育成) > 対応
㉔ セキュリティトレーニング(専門家育成) > 復旧
㉕ セキュリティトレーニング(専門家育成) > 統治
㉖ 組織構築支援 > 特定
㉗ 組織構築支援 > 防御
㉘ 組織構築支援 > 検知
㉙ 組織構築支援 > 対応
㉚ 組織構築支援 > 復旧
㉛ 組織構築支援 > 統治
終わりに
今回はNIST CSFについて”かなり簡略化して”お伝えさせていただきました。本格的なフレームワーク活用をお考えの方は是非NIST公式(https://www.nist.gov/cyberframework)をご覧いただき、各サブカテゴリの要件や実装例(Implementation Examples)、クイックスタートガイド(中小企業向けもあります)といった内容を詳細に確認することをおすすめいたします。
世の中には様々なセキュリティフレームワークやセキュリティガイドラインがありますが、重複なく漏れなくという観点で使いやすいよう抽象化されています。具体的な話となると使う対象(組織)によって個別に検討しなければならない部分が多々あります。
NIST CSFに限らず、様々な観点でセキュリティ施策についてお悩みの点がありましたら、お気軽にお問い合わせください。
世の中には様々なセキュリティフレームワークやセキュリティガイドラインがありますが、重複なく漏れなくという観点で使いやすいよう抽象化されています。具体的な話となると使う対象(組織)によって個別に検討しなければならない部分が多々あります。
NIST CSFに限らず、様々な観点でセキュリティ施策についてお悩みの点がありましたら、お気軽にお問い合わせください。
アクセリア
セキュリティ事業本部ICS事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service