NIST サイバーセキュリティフレームワーク (CSF) 🔒 - フルガイド

NISTサイバーセキュリティフレームワークの概要

NISTサイバーセキュリティフレームワークを利用することで、セキュリティ計画の策定や運用の整備が大いに助けられます。これは企業のセキュリティ対策を強化するためのルールセットであり、サイバー攻撃の早期発見、防止、そして被害からの復旧に向けた提案と基準を示しています。

NISTが策定したこのフレームワークは、業界に依存しないルールと原則を提供することで、サイバー攻撃対策の統一を目指しています。最も包括的かつ信頼できるセキュリティ計画のガイドとみなされ、セキュリティポリシーの構築を始めたばかりの企業から成熟した企業まで、組織全体のリスクの評価に役立つ最上位のプライバシー管理ツールとして利用できます。

フレームワークの主要な5要素

このフレームワークは、識別（Identity）、守る（Protect）、検知（Detect）、対応（Respond）、復旧（Recover）の5つの主要な部分に分かれています。これらの要素はサイバーリスクへの一連の対策を示しており、各機能のタスクが企業運営の設計図となります。

1. 識別

識別プロセスは、安全なネットワークを構築するための基準と手順の確立に注力します。この機能により、システム、人物、資産、データ、能力のリスク管理がより明確になります。企業環境や重要な機能を支える資源、そしてそれに伴うシステムの動きを把握することは、リスク管理戦略や事業上のニーズに基づき、活動の優先順位を決める上で重要です。主なタスクは以下の通りです:

• ハードウェアやアプリの資産情報を収集することは、資産管理戦略を構築する第一歩です。
• 企業のサプライチェーンやその他の関連外部要因を把握することが欠かせません。
• ガバナンスプログラム設計のための脆弱性管理ルールや、企業のセキュリティ能力に関する法的・規制上の要件を明確にします。
• リスク評価では、資産の露出状況、社内外のリソースに対するリスク、及びリスク対応策を特定します。
• どの程度のリスクを許容するかを決める、リスク管理戦略の策定を行います。
• サプライチェーンの脅威に対する難しい意思決定のため、優先順位、制約、リスク容認基準、前提条件を定める枠組みを確立します。

2. 守る

守る機能は、重要なネットワークサービスの提供を確保するための要件を設定し、サイバー攻撃時の影響を最小限に抑えることを目的としています。主なタスクは以下の通りです:

• オンプレミスおよびリモートのID管理とアクセス制御の安全性を確立します。
• 役割に応じたトレーニングを含む包括的なセキュリティ教育を実施し、従業員を支援します。
• 企業のリスク監視戦略に沿った防御策を導入し、データの安全性、可用性、及びプライバシーを保ちます。
• データとハードウェアの安全性保証のため、プロトコルや手順を整備します。
• リモートも含めた監視体制を構築し、企業の資産を守ります。
• 社内ポリシーや関連する法令、契約上の義務に基づき、安定した運用を維持するための技術管理を行います。

3. 検知

検知機能は、ITセキュリティ上の事象を速やかに発見するための適切な対応策を定めることを目的としています。主なタスクは以下の通りです:

• 通常と異なる事象を把握し、その影響を理解できるようにします。
• システムを通じ、常時記録するセンサーを利用して、セキュリティ運用の有効性を確認し、マルウェアのリスク管理を行います。

4. 対応

対応機能は、サイバー攻撃発生時に適切な措置を実施することで、被害の影響を軽減することを目的としています。主なタスクは以下の通りです:

• 緊急時およびその後に、あらかじめ計画された対応策を実行します。
• 事象後、社内外の関係者との対話を実施します。
• 被害範囲の把握と最適な対応策の決定のため、復旧活動やフォレンジック調査を支援します。
• 問題の影響を最小限に抑え、良い解決を導くために慎重に行動します。
• 監視および対応活動から得た知見を活用し、プロセス改善に努めます。

5. 復旧

復旧機能は、データ侵害によって中断したサービスや業務を取り戻すための活動です。サイバー攻撃による被害を減らすためには、通常の運用への早期復帰が不可欠です。対応機能と一部重複しますが、主なステップは以下の通りです:

• 復旧計画では、ランサムウェア攻撃などで損なわれた資産やシステムを回復するための各種戦略や手法を実行します。
• 現行の手法を検証し、改善策を実施します。
• 事象発生中およびその後、内部と外部のコミュニケーションを調整します。

CSF 開発のタイムライン

NIST CSF の進化のタイムライン:

• 2014年2月12日: 大統領令13636「重要インフラのサイバーセキュリティ強化」に対応して、Cybersecurity Framework のバージョン1.0をリリース。
• 2017年12月5日: ステークホルダーの意見を反映し、サプライチェーンリスク管理、脅威モデリング、脆弱性情報公開のセクションを追加したバージョン1.1をリリース。
• 2018年4月16日: NISTがフレームワークバージョン2.0のパブリックフィードバックプロセスを開始。
• 2019年12月5日: パブリックフィードバック用にフレームワーク2.0の草案を公開。提案では、インフォーマティブリファレンス、認証、認可、サイバーセキュリティ測定が変更されています。
• 2020年9月23日: プライバシーフレームワーク バージョン1.0を公開し、企業のプライバシー課題の管理を支援。
• 2021年5月12日: 実用的なリファレンス、サプライチェーンリスク管理、脅威モデリングを更新したサイバーセキュリティフレームワーク バージョン2.0をリリース。改訂では、継続的なサイバーセキュリティの監視と評価の重要性が強調されています。

‍

NISTサイバーセキュリティフレームワークの実装方法

フレームワーク実装ティアは、企業のサイバーリスク管理の実施度を、Partial（ティア1）からAdaptive（ティア4）までで示します。各ティアは、プライバシーや市民自由など多様なリスク管理要素を考慮し、望ましい管理レベルの判断材料となります。これらは成熟度そのものを示すのではなく、意思決定とリソース配分の補助となります。実装の成功はターゲットプロファイルの達成に依存しますが、ティアの選択はフレームワークプロファイルや優先順位にも影響を与えます。事業またはプロセスレベルのマネージャーによるティアの推奨が、進捗評価に反映されサイバーリスク管理の全体的な方向性を決定します。以下にNISTサイバーセキュリティフレームワークの各ステップを紹介します。

• ステップ 1 – Partial

サイバー防御のリスク管理手法が体系化されておらず、企業のリスク目標、脅威環境、及び事業ニーズがデジタルセキュリティ対策の優先順位に反映されていません。脆弱性管理は標準化されず、ケースバイケースで対応されるため、組織全体のリスクが十分に理解されていません。また、社内の連携が不足しているため、サイバーサプライチェーン上の脅威も十分に把握されていません。

• ステップ 2 - Risk

経営層は一定のリスク管理手法を認めていますが、公式なポリシーとして整備されていません。リスクの目標、脅威の性質、及び事業ニーズに基づき安全対策の優先順位が定められます。企業全体ではデジタルセキュリティリスクは認識されているものの、明確な全社戦略はなく、ネットワークセキュリティの情報は断片的に共有されています。自社のエコシステム内での位置は把握しているものの、他組織への依存度は十分に認識されず、連携や情報交換が行われる場合もあれば、そうでない場合もあります。サイバーサプライチェーン上の懸念は認識されるものの、対応は断続的です。

• ステップ 3 - Repeatable

リスク管理のための社内ポリシーが整備され、新たなリスクや要件に応じて定期的に見直されています。全社的なデータ侵害対応戦略が存在し、新たな脅威に対応するための実績ある手法と訓練済みスタッフが揃っています。経営層は、ITセキュリティ担当と各部署間での円滑な情報共有を促進し、全社的な守りの意識を保っています。サイバーサプライチェーン上の脅威も認識され、連携と情報共有による対応策が講じられています。

• ステップ 4 – Adaptive

企業のプロトコルは、先進的な技術と手法を活用し、新たな脅威に応じたリスク低減戦略を柔軟に適用します。統合リスク管理プログラムは、攻撃対象と企業目標に基づいたリスクに即した方針や手順で対応します。経営層は運用リスクを他のリスクと合わせて評価し、予算も現状および見込まれるリスクに基づいて配分されます。セキュリティリスクの管理は企業文化の一部となり、事業目標に迅速に合わせて調整されます。企業は自社のエコシステム内での役割を認識し、協力先との情報共有や即時の情報に基づくサイバー攻撃対策を実施し、積極的にサプライチェーンの関係を維持しています。

サイバーセキュリティフレームワーク活用ガイド

このフレームワークは、識別、守る、検知、対応、復旧の各機能に対応する行動で構成されます。例えば、資産管理ソフトは識別に属し、守るカテゴリにはアンチウイルスやCrowdstrikeが含まれます。検知にはIDSやSIEMを合わせて利用することも可能です。インシデント対応のためのプレイブック等は対応機能に含まれ、バックアップや復旧は復旧機能で対処されます。

作業を進める中で、各分野の進捗にばらつきが見えてくるかもしれません。その説明が多少引っかかる点もあるでしょう。しかし、結果としてサイバーセキュリティ計画の不足部分が明確になるのは良いことです。

‍

バージョン2.0の新機能

• CSFの幅広い利用を認め、その適用範囲を明確にします。
• 標準やリソースへの文脈説明とリンクが提供されます。
• NISTガイドラインの利用方法に関する新しい資料が併せて掲載されます。
• サイバー強靭性の管理に重点が置かれます。
• ネットワーク配送業者におけるプライバシー問題の対処の重要性が強調されます。
• サイバー防御の正確な測定と評価が大幅に強化されます。

‍

結論

本フレームワークは、各種技術、基準、そしてベストプラクティスを体系化し、侵害によるリスクを低減するために設計されたものです。この手法は柔軟で幅広い業種や法的構造に対応可能なネットワークセキュリティのアプローチを提供します。