セキュリティ分野における「フレームワーク」とは？フレームワークの種類、活用時のポイントを解説

企業のセキュリティ対策の指針となるものに「セキュリティフレームワーク」があります。セキュリティ対策を導入する際には、自社に適切なセキュリティ対策を実施できるよう、いくつかのセキュリティフレームワークを活用することが有効です。
この記事では、セキュリティフレームワークの種類と、活用時のポイントをご紹介します。

「フレームワーク」という用語自体は「枠組みや骨子」を意味し、さまざまな分野で使われています。たとえば経営戦略の分野においては、ビジネス上の課題の洗い出しや分析、思考の整理などに使われる方法を指す言葉です。IT分野においては、アプリケーションを構築するための設計パターンや機能群を表す言葉として使われています。

情報セキュリティの分野では「セキュリティフレームワーク」といいます。これはセキュリティ対策の基準やガイドライン、事例などがまとめられたものです。セキュリティフレームワークは情報セキュリティ対策の概念的なものから技術的なものまで、さまざまなものがあります。

セキュリティフレームワークの役割

セキュリティフレームワークを使用すると、次のようなメリットがあります。

1、セキュリティ対策の抜け漏れを防ぎ、実効性のあるセキュリティ対策を行える
2、認証制度のあるフレームワークにしたがってセキュリティ対策を行った場合、第三者認証を受けられる。外部機関が自社のセキュリティを認証することで、客観的にセキュリティ対策を評価・保証されることになるため、取引先や顧客からの信頼獲得につながる

セキュリティ対策は幅広く、1つのフレームワークですべてのセキュリティ対策を網羅することはできません。したがって企業のセキュリティ対策の目的に合わせて、各フレームワークを組み合わせて取り入れることが望ましい方法です。

現在各機関から公表されているフレームワークと、ガイドラインをご紹介します。

サイバーセキュリティ経営ガイドライン Ver3.0

サイバーセキュリティ経営ガイドラインは、国内企業における組織的なセキュリティ対策を実践するための指針です。このガイドラインは、経済産業省と独立行政法人 情報処理推進機構（IPA）によって取りまとめられました。対象は大企業および小規模事業者を除いた中小企業の経営者となっています。
内容は主に経営者が認識すべき「3原則」とサイバーセキュリティ経営の「重要10項目」について詳しく説明されているものです。

NIST CSF（サイバーセキュリティフレームワーク）

NIST CSFは、米国国立標準研究所（NIST：National Institute of Standards and Technology）」が2014年に策定したフレームワークです。NIST CSFは次のように改定されています。
・2014年：NIST CSF 1.0
・2018年：NIST CSF 1.1
・2024年2月：NIST CSF 2.0
1.1以前のNIST CSFでは、「特定」「防御」「検知」「対応」「復旧」という5機能を有していましたが、2.0では新たに「統治」が追加されました。

NIST CSFには、NISTの内部組織によって発行されるSP800シリーズという文書があります。これはCSFの下位概念に位置付けられており、実施すべきタスクとその手順などが明記されています。

NIST SP 800-53

NIST SP 800-53は米国連邦政府の情報システムを対象にした、機密情報の保護に関するセキュリティ基準を示すガイドラインです。

NIST SP 800-171

NIST SP 800-171はNIST SP 800-53から民間企業向けに要件をピックアップしたもので、同じく機密情報の保護に関するセキュリティ基準を示すガイドラインです。日本の防衛省でもNIST SP 800-171が採用されています。

ISO/IEC 27001・JIS Q 27001（ISMS）

ISO/IEC 27001（JIS Q 27001も同等）は、情報セキュリティマネジメントシステム（ISMS）に関する国際規格です。ISMSの確立～実施～改善を行うこと、また情報セキュリティのリスクアセスメントとリスク対応が要求事項として求められています。ISO/IEC 27001を取得すると、ISMS認証を受けられます。

CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）

CPSF （サイバー・フィジカル・セキュリティ対策フレームワーク）は、経済産業省が2019年に策定した、サプライチェーン全体のセキュリティ確保を目的としたフレームワークです。内容は、サイバー空間と現実世界（フィジカル空間）の双方をカバーしたセキュリティ対策について示されています。セキュリティリスクは産業分野によって違いがあるため、CPSFではビルや工場などの産業分野別にガイドラインが作られています。

CIS Controls v8

CIS Controlsは、米国の非営利団体であるCIS（Center for Internet Security）が策定しているセキュリティ対策のガイドラインです。2021年にv8（バージョン8）が公開されました。企業が適切な優先順位でセキュリティ対策を実施できるように、対象となるグループを3つにわけ、それぞれのグループで必要な対策（セーフガード／保護手段）が示されています。CIS Controls v8ではさらに、テレワークやクラウドサービスの利用に対応しています。

ご紹介したなかでも、汎用的かつ体系的なフレームワークで、多くの国や組織で活用されているのがNIST CSFです。脅威の侵入を防ぐ事前対策から、実際に攻撃を受けた際の検知や対処、復旧まで網羅されています。

NIST CSF2.0の改定内容や実践的な使い方について、詳しくはこちらの記事をご参照ください。

参考コラム：サイバーセキュリティ初心者のためのNIST CSFーCSF 2.0 と具体的な施策

セキュリティフレームワークは、1つのフレームワークを当てはめればセキュリティ対策は万全というものではありません。まずはそれぞれのフレームワークを理解する必要があります。また導入の際には複数のフレームワークを導入することが推奨されます。

NIST CSFは汎用的かつ柔軟なフレームワークであり、組織に応じたアレンジが想定されているため、導入の候補として有力です。ただ海外のフレームワークで原典は英語であるため、導入のハードルが高くなることも考えられます。フレームワークに慣れるためにまず、日本の「サイバーセキュリティ経営ガイドライン」から理解していくとよいでしょう。

フレームワークの適用には、導入を支援する企業のサービスを用いるのも1つの手です。

アクセリアではセキュリティ診断サービスやCloudflareを用いたCDNサービス、WAFなどさまざまなセキュリティ対策サービスを用意しています。

NIST CSF2.0に沿ったセキュリティ施策もご提案が可能です。フレームワークの活用やその他セキュリティ対策については、アクセリアまでご相談ください。

セキュリティフレームワークは、企業のセキュリティ対策の指針となります。セキュリティ対策の目的に合わせて、組み合わせて活用すると良いでしょう。フレームワークを読み解くこと、また自社に適用するのは難解であるため、導入支援を行っている企業と協力して検討することをおすすめします。

参考サイト
・経済産業省｜サイバーセキュリティ経営ガイドライン
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
・経済産業省｜民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン Ver 1.1【添付資料2】
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_uchu_sangyo/pdf/008_s03_00.pdf
・経済産業省｜サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）とその展開
https://www.meti.go.jp/policy/netsecurity/wg1/wg1.html
・一般社団法人　日本品質保証機構（JQA）｜ISO/IEC 27001（情報セキュリティ）
https://www.jqa.jp/service_list/management/service/iso27001/
・IPA 独立行政法人 情報処理推進機構｜【概要説明】 NIST及びNIST発行の情報セキュリティ関連文書
https://www.ipa.go.jp/security/reports/oversea/nist/nist_publications.html
・東京都産業労働局｜情報セキュリティに関する各種フレームワークの概要
https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/435/index.html
・トレンドマイクロ｜防衛省のサイバーセキュリティ調達基準の元となったNIST SP 800-171とは？～日本企業が取り組むべき対策を解説～
https://www.trendmicro.com/ja_jp/jp-security/22/i/securitytrend-20220926-01.html