NISTフレームワークで考える、サイバーセキュリティ強化策
サイバー攻撃から企業を守るフレームワーク
「NIST」とは、National Institute of Standards and Technologyの略称で、メリーランド州にある「アメリカ国立標準技術研究所」という政府機関のことです。
同研究所が作成したサイバーセキュリティ対策に関する枠組み「NISTサイバーセキュリティフレームワーク」は、正式には「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」と呼ばれ、当初は重要インフラの運用者を対象にしていました。
サイバーセキュリティの実施方法は業種や企業規模によって異なりますが、同フレームワークは2014年の発行以来改定を重ね、サイバーセキュリティ対策の体系的なガイドラインとして幅広く活用されるようになりました。わが国でもサイバーセキュリティ対策の効果を検討するツールとして、多くの企業や組織で活用されています。
サイバーセキュリティ対策のレベル強化や改善のために
このNISTサイバーセキュリティフレームワークは、サイバー攻撃を予防するだけでなく、サイバー攻撃を受けることを前提に、その後いかに復旧するかなど、事後対応まで網羅されている点が評価されています。
同フレームワークは大きく以下の3つの要素で構成され、企業や組織はこれらの要素に基づき、サイバーセキュリティ対策の現状把握ならびに対策の優先順位付けを行います。
【コア(Core)】
組織の種類や規模を問わず、共通のサイバーセキュリティ対策、期待される効果、参考情報を示した一覧です。具体的には以下の5つの機能で構成され、それぞれの機能は並行かつ継続して実行されます。先に触れたサイバー攻撃からの予防が「1 識別」→「2 防御」で、攻撃を受けてから事後対応までが「3 検知」→「4 対応」→「5 復旧」に該当します。
1 識別(Identify)
「資産管理」「ビジネス環境」「ガバナンス」「リスクアセスメント」「リスクマネジメント戦略」「サプライチェーンリスクマネジメント」の6つのカテゴリーで構成されています。サイバー攻撃の種類や対処法について知識を深めるほか、企業として事業を継続していくための取り組みなどについてまとめられています。
2 防御(Protect)
「アイデンティティ管理とアクセス制御」「意識向上およびトレーニング」「データセキュリティ」「情報を保護するためのプロセスおよび手順」「保守」「保護技術」の6つのカテゴリーで構成されています。ファイアウォールの設置やセキュリティ対策ソフトのインストールなど、サイバー攻撃を防ぐための具体的な方法についてまとめられています。
3 検知(Detect)
「異常とイベント」「セキュリティの継続的なモニタリング」「検知プロセス」の3つのカテゴリーで構成されています。不正侵入の防止および検知のシステムを利用してサイバー攻撃をいち早く検知し、被害の拡大を防ぐことの重要性についてまとめられています。
4 対応(Respond)
「対応計画の作成」「コミュニケーション」「分析」「低減」「改善」の5つのカテゴリーで構成されています。サイバー攻撃を受けることを前提に、検知後の早期かつ適切な対応策についてまとめられています。
5 復旧(Recover)
「復旧計画の作成」「改善」「コミュニケーション」の3つのカテゴリーで構成されています。サイバー攻撃を受けた後、システムの被害状況を確認して復旧作業を行い、次の防御対策を整える手順や方法についてまとめられています。
【ティア(Tier)】
企業や団体などそれぞれの組織で、サイバーセキュリティに関するリスク認識や管理体制を数値化し、評価する際の基準です。
ティアには以下の4つの定義があります。
| ティア1 | 部分的である(Partial) |
| ティア2 | リスク情報を活用している(Risk Informed) |
| ティア3 | 繰り返し適用可能である(Repeatable) |
| ティア4 | 適応している(Adaptive) |
【プロファイル(Profile)】
組織のサイバーセキュリティ対策の「現在の姿(as is)」と「目指すべき姿(to be)」をまとめたもので、組織の種類や規模などによって内容や要素は異なります。以下のような情報が記載されています。
- 組織のビジネス上の要求事項
- リスク許容度
- 割り当て可能なリソースに基づく機能
- カテゴリー
- サブカテゴリー
前々回のブログでも触れたように、情報セキュリティ対策はビジネス社会における企業の社会的責任です。その意味でも、国際基準ともいえるNISTサイバーセキュリティフレームワークの活用は、サイバーセキュリティのリスクから自社を守る有効な手段であることは間違いありません。
次回のブログでは、「ドキュメント(紙・電子データ)」「ファシリティ(物理)」「IT(ネットワーク・システム)」「マネジメント(人・組織)」の4つの視点で運用するセキュリティソリューションについて紹介します。
