サイバーセキュリティ
フレームワーク①
セキュリティの状況を整理するためには、フレームワークを活用すると便利です。今回はNIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF)を紹介します。業界や組織の規模を問わず、サイバーセキュリティ対策の指針として利用できるフレームワークです。なお、本フレームワークでは、「サイバーセキュリティ経営ガイドライン Ver 2.0 付録A サイバーセキュリティ経営チェックシート 」においても対応関係が提示されています。
※セキュリティには、サイバーセキュリティフレームワークだけでなく、それぞれ特徴を持ったフレームワークが存在します。従来のセキュリティ対策関連の資料は、ISMSのフレームワークをベースにしてきたものが多かったですが、現在ではCSFを意識した対策が普及しつつあります。自社に一番合ったものや取得したい認証に合わせた利用を考えてください。
フレームワークを構成する3つの要素
フレームワークコア
セキュリティ対策を検討する際に、組織に不足している対策を明確にし、必要なツールを導入するための指針となるものです。「識別(特定)(Identify)」、「防御(Protect)、「検知(Detect)」、「対応(Respond)」、「復旧(Recover)」という5つのコア機能と、23のカテゴリーで構成されています。
コア機能:業種・業態を問わないサイバーセキュリティ対策の機能
カテゴリー:サイバーセキュリティ対策として取り組むべき具体例
フレームワークインプリメンテーションティア
組織のサイバーセキュリティ対策のレベルを評価する基準を示すものです。「ティア1(部分的である)」から、「ティア4(適応している)」の4段階に分かれており、組織が置かれている状況等から総合的に判断します。
| ティア | 定義の概要 |
|---|---|
| ティア1: 部分的である | 場当たり的に、対処される状態 |
| ティア2: リスク情報を活用している | 意識はあるが、リスクを管理するための組織全体にわたる取り組みは定められていない状態 |
| ティア3: 繰り返し適用可能である | 一貫した手法が存在しており、知識とスキルを持っている状態 |
| ティア4: 適応している | 自組織において適切なセキュリティ運用・体制・ルールが確立している状態 |
フレームワークプロファイル
組織のサイバーセキュリティ対策の現状(As-IS)と、あるべき姿(To-Be)を比較することにより、サイバーセキュリティ対策を改善する機会を識別するために使用するものです。
あるべき姿は会社によって違いがあります。しっかりと考えていくポイントです。
出典:National Institute of Standards and Technology
「Framework for ImprovingCritical Infrastructure Cybersecurityv1.1 」 をもとに作成
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf