100%

NISTのサイバーセキュリティフレームワークとは?

1.NISTのサイバーセキュリティフレームワークとは?

米国商務省のNISTのサイバーセキュリティフレームワーク v1.1(Framework for Improving Critical Infrastructure Cybersecurity, version 1.1)は,2018年 4 月に改訂されたもので,NIST800-53 Revision 5(Security and Privacy Controls for Federal Information Systems and Organizations)が465ページもの詳細な統制等を記載しているのに対し,チェックリスト的アプローチではなく,リスクベースでどうサイバーセキュリティリスクを管理,軽減していくかの基準,ガイドライン,実践手法をベースとした手引きを提供することを意図している。また,共通のフレームワーク,共通言語を提供することによって,サイバーセキュリティに関する内外の利害関係者間のコミュニケーションを促進することを意図している。NISTのCSFでは,リスクに対応するセキュリティ統制を結び付けるモデルとして,「フレームワークコア」という名のモデルを示している。そこでは,「特定」,「防御」,「検知」,「対応」,「復旧」の 5つの機能ごと管理策(カテゴリ/サブカテゴリ)の例示をしている。当該機能は、サイバーセキュリティリスクの評価・特定→当該リスクへの対策→発生したリスクの検知→対応→復旧というフローとなっている。

 

2.5つの機能の細分化

NISTのCSF v1.1では,上述の 5 つの機能を下記の図表の右側のようにさらに23のカテゴリに細分化している。また,当該カテゴリは,さらに108のサブカテゴリに細分化されている。カテゴリ/サブカテゴリの内容については、次の3.でまとめている。

v1.1と2014年の最初にリリースされたv1.0との違いは、カテゴリが1個追加されたことと、サブカテゴリが10個追加されたことであり、詳細は以下の通りである。

・「特定」のカテゴリへの「サプライチェーンリスクマネジメント」(ベンダーその他のビジネスパートナーとの関連性に係るリスクマネジメント)が追加され、当該カテゴリに5つのサブカテゴリが追加された(ベンダー等のリスクマネジメントプロセス、対策の実施を契約化、義務履行の定期的評価、対応・復旧計画の策定・テスト)。

・「防御」のカテゴリの「アクセス統制」が「アイデンティティ管理・アクセス統制」になり、サブカテゴリが2個追加になり、アイデンティティ管理、認証・識別の証明(本人確認のため、その識別に使用する属性の値の集合の信頼性を確認すること)が含まれるようになった。

・「防御」のカテゴリの「データセキュリティ」のサブカテゴリが1個追加され、ハードウェアの完全性チェックが含まれるようになった。

・「防御」のカテゴリの「保護技術」で、サブカテゴリが1個追加になり、レジリエンスの実装が含まれるようになった。

・「対応」のカテゴリの「分析」で、サブカテゴリが1個追加になり、入手した脆弱性の情報への対応が含まれるようになった。

3.NISTにおけるカテゴリ/サブカテゴリの内容の要約

NISTのCSFの各機能ごとのカテゴリー/サブカテゴリの内容の要約は以下の表の通りです。以下の表には記載していないが、NISTのCSFの中では、各サブカテゴリごとに参考として、COBIT5、NIST SP800-30、ISO27001などの規準等における管理策と紐づけが行われている。

機能

カテゴリ/サブカテゴリ

特定

資産管理 AM-1~6

(資産台帳、データフロー、分類・重要度・優先順位付け、責任)  

ビジネス環境 BE-1~5

(自組織のミッション、目標、利害関係者、活動の理解、優先順位付け)

ガバナンス GV-1~5   

(情報セキュリティポリシー、社内外の調整・連携、法規上の要求事項管理、ガバナンスとリスクマネジメントプロセス)

リスクアセスメント RA-1~6

(脅威・脆弱性特定、リスクの潜在的影響とその可能性、リスク対応の優先順位)

リスクマネジメント戦略 RM-1~3

(リスクマネジメントプロセス、リスク許容度)

サプライチェーンリスクマネジメント SC-1~5

(ベンダー等のリスクマネジメントプロセス、対策の実施を契約化、義務履行の定期的評価、対応・復旧計画の策定・テスト)

防御

アイデンティティ・アクセス統制 AC-1~5

(識別、認証情報管理、物理アクセス管理、リモートアクセス管理、最小権限、職務分離、ネットワーク分離、アイデンティティの証明、ユーザ・装置等の認証強度)

意識向上・研修 AT-1~5

(周知、研修, 役割・責任の理解)       

データセキュリティ DS-1~8

(保存・伝送データ保護、資産の撤去・譲渡・廃棄、可用性-容量確保、データ漏洩防御、ソフトウェア・情報・ハードウェアの完全性チェック、開発、本番環境分離)

情報保護プロセス・手続 IP-1~8

(セキュリティ原則、システム開発ライフサイクル、構成変更管理、情報のバックアッ

プ、資産の物理的な運用環境、データの破壊、防御プロセス改善、防御技術情報の共

有、対応・復旧計画の策定・テスト、人事に係る対策、脆弱性管理計画の実装)

保守 MA-1,2

(資産の保守(リモート含む)の実施、ログ記録、承認)

保護技術 PT-1~5

(監査ログの記録、レビュー、リムーバブルメディアの保護、必須の機能のみの提供、通信・統制ネットワーク保護、レジリエンスの実装)

検知

異常・イベント AE-1~5

(異常検知、イベント分析・関連付け、影響特定、警告の閾値)

セキュリティの継続的モニタリング CM-1~8

(イベント検知のためのモニタリング、悪質なコード等の検知、脆弱性スキャン)

検知プロセス DP-1~5

(検知手順、責任、テスト、報告、改善)

対応

対応計画 RP-1  

(対応計画の実行)

伝達 CO-1~5

(利害関係者間の報告、調整、情報共有)  

分析 AN-1~5

(調査、影響、フォレンジック、分類、入手した脆弱性情報への対応プロセス)         

軽減 MI-1~3

(封じ込め、軽減)          

改善 IM-1,2

(対応計画・戦略更新)

復旧

復旧計画 RP-1

(復旧計画の実施)

改善 IM-1,2

(対応計画・戦略更新)

伝達 CO-1~3

(広報、評判回復、利害関係者報告) 

4.NISTのCSFに関する監査

CSFに関する監査に係る監査手続について,以下,NISTのCSFに係るISACAの 作 成 し た 監 査 / 保 証 手 続 書(IS Audit/Assurance ProgramCybersecurity:Based on the NIST Cybersecurity Framework)を例として紹介する。下記の図表は,当該監査/保証手続書の中の「検知」機能のうち,「異常とイベント」(DE.AE)のサブプロセスについて, 5 つの統制に係るテスト手続を抜粋して,その訳を示したものである。

統制目的

統制

テスト手続

異常とイベント(DE.AE): 異常な活動をタイムリーに検知し、イベ ントがもたらす可能性のある影響 を把握している。

DE.AE-1: ネットワーク運用のベースライ ンと、ユーザとシステム間の予測されるデ ―タの流れを特定し、管理している。

1.   組織の論理ネットワーク図、データフロー図、およびその他のネットワークと通信図のコピーを入手する。

2.   下記の事項について上記の各図をレビューする。
a. 図の更新頻度
b. 図の正確さと完全性
c. 図の範囲は、異なるリスクと統制レベルの2つのドメイン(すなわち、高リスク:ネットワークの公開されたアクセス可能な部分 対 高価値:ネットワークの制限されたアクセス部分)および両者の間にある統制ポイント(例えば、ファイアウォール 、ルータ、侵入検知/防止システム)を識別するのに適切である。

3.   異常なトラフィックが検出されるような典型的な(ベースラインの)トラフィックを確立するためにツール(例えば、SIEM)が使用されているかどうかを確認する。

DE.AE-2: 攻撃の標的と手法を理解するために、検知したイベントを分析している。

1.システムとネットワークの監視に関するポリシーと手続のコピーを入手する。
a. ポリシーと手続が、特定された統制ポイントで異常な活動を監視することを要求しているかを確認する。
2. 検出されたイベント(IDSからのアラートなど)とそれに対する組織の対応に係るコピーを入手する。検出されたイベントに対し十分な分析が行われていることを確認するためにイベントと対応の内容をレビューする。

DE.AE-3: イベントデータを複数の情報源 やセンサーから収集し、相互に関連付け ている。

1.組織で使用されているイベント集約および監視システムの一覧を入手する(SIEM、イベントログ相関付けシステム)。
2.各イベント集約および監視システムにデータを提供するソース(ファイアウォール、ルータ、サーバなど)のリストを入手する。
3.異なるリスクと統制レベルのドメイン間の特定された統制ポイントとソースを比較し、組織の環境に対して監視範囲が適切かどうかを確認する。

DE.AE-4: イベントがもたらす影響を特定 している。

1.検出されたイベントとそれに対する組織の対応に係るコピーを入手する。
2.組織に適用可能な指標(コンプライアンスへの影響、運用上の影響、正確なレポーティングへの影響など)を使用して、組織が異常なアクティビティの影響を文書化していることを確認するために、イベント、チケット、対応をレビューする。

DE.AE-5: インシデント警告の閾値を定め ている。

1.検出されたイベントがエスカレートされたアラートメッセージ、会議議事録、レポートおよびその他の文書のコピーを入手する。
2.文書をレビューし、以下の事項を確認する。
a. 検出されたイベントは、イベントを解決またはエスカレートするための知識と専門知識を持つ人にタイムリーに報告される。
b. エスカレートされたイベントは、適切な権限を持つ個人またはグループに報告され、組織の対応についての決定が行われる。
c.しきい値は、イベントが適切な対応(ビジネス継続性の対応、災害復旧の対応、インシデント対応、法的対応など)のトリガーとなるように定義されている。

5.まとめ

以上、NISTのCSFの概要として、フレームコア(機能*特定→防御→検知→対応→復旧)、各機能のカテゴリ/サブカテゴリの管理策、NISTのCSFに基づく管理策の監査について紹介した。

さらに詳しくサイバーセキュリティについて学ばれたい方に、以下のeラーニングコースと書籍を紹介させていただきます。

 サイバーセキュリティアカデミー(サイアカ)

サイバーセキュリティ専門のeラーニングコースを提供しております。マルウェア解析、IoTのペネトレーションテスト、クラウドセキュリティ、デジタル・フォレンジック、OSINT、FinTech関連のセキュリティなどのコースがあります。 コースについてお知りになりたい方は、以下をクリックください。

書籍のご紹介

サイバーセキュリティの基礎及びその監査の方法をわかりやすく解説しています。サイバーセキュリティの脅威、攻撃手法、対策を詳しく説明するとともに、NISTのサイバーセキュリティのフレームワーク、AICPAのサイバーセキュリティリスクのマネージメント報告なども解説しています。Amazonへのリンク