1.NISTのサイバーセキュリティフレームワークとは?
米国商務省のNISTのサイバーセキュリティフレームワーク v1.1(Framework for Improving Critical Infrastructure Cybersecurity, version 1.1)は,2018年 4 月に改訂されたもので,NIST800-53 Revision 5(Security and Privacy Controls for Federal Information Systems and Organizations)が465ページもの詳細な統制等を記載しているのに対し,チェックリスト的アプローチではなく,リスクベースでどうサイバーセキュリティリスクを管理,軽減していくかの基準,ガイドライン,実践手法をベースとした手引きを提供することを意図している。また,共通のフレームワーク,共通言語を提供することによって,サイバーセキュリティに関する内外の利害関係者間のコミュニケーションを促進することを意図している。NISTのCSFでは,リスクに対応するセキュリティ統制を結び付けるモデルとして,「フレームワークコア」という名のモデルを示している。そこでは,「特定」,「防御」,「検知」,「対応」,「復旧」の 5つの機能ごと管理策(カテゴリ/サブカテゴリ)の例示をしている。当該機能は、サイバーセキュリティリスクの評価・特定→当該リスクへの対策→発生したリスクの検知→対応→復旧というフローとなっている。
2.5つの機能の細分化
NISTのCSF v1.1では,上述の 5 つの機能を下記の図表の右側のようにさらに23のカテゴリに細分化している。また,当該カテゴリは,さらに108のサブカテゴリに細分化されている。カテゴリ/サブカテゴリの内容については、次の3.でまとめている。
v1.1と2014年の最初にリリースされたv1.0との違いは、カテゴリが1個追加されたことと、サブカテゴリが10個追加されたことであり、詳細は以下の通りである。
・「特定」のカテゴリへの「サプライチェーンリスクマネジメント」(ベンダーその他のビジネスパートナーとの関連性に係るリスクマネジメント)が追加され、当該カテゴリに5つのサブカテゴリが追加された(ベンダー等のリスクマネジメントプロセス、対策の実施を契約化、義務履行の定期的評価、対応・復旧計画の策定・テスト)。
・「防御」のカテゴリの「アクセス統制」が「アイデンティティ管理・アクセス統制」になり、サブカテゴリが2個追加になり、アイデンティティ管理、認証・識別の証明(本人確認のため、その識別に使用する属性の値の集合の信頼性を確認すること)が含まれるようになった。
・「防御」のカテゴリの「データセキュリティ」のサブカテゴリが1個追加され、ハードウェアの完全性チェックが含まれるようになった。
・「防御」のカテゴリの「保護技術」で、サブカテゴリが1個追加になり、レジリエンスの実装が含まれるようになった。
・「対応」のカテゴリの「分析」で、サブカテゴリが1個追加になり、入手した脆弱性の情報への対応が含まれるようになった。
3.NISTにおけるカテゴリ/サブカテゴリの内容の要約
NISTのCSFの各機能ごとのカテゴリー/サブカテゴリの内容の要約は以下の表の通りです。以下の表には記載していないが、NISTのCSFの中では、各サブカテゴリごとに参考として、COBIT5、NIST SP800-30、ISO27001などの規準等における管理策と紐づけが行われている。
機能 | カテゴリ/サブカテゴリ |
特定 | 資産管理 AM-1~6 (資産台帳、データフロー、分類・重要度・優先順位付け、責任) |
ビジネス環境 BE-1~5 (自組織のミッション、目標、利害関係者、活動の理解、優先順位付け) | |
ガバナンス GV-1~5 (情報セキュリティポリシー、社内外の調整・連携、法規上の要求事項管理、ガバナンスとリスクマネジメントプロセス) | |
リスクアセスメント RA-1~6 (脅威・脆弱性特定、リスクの潜在的影響とその可能性、リスク対応の優先順位) | |
リスクマネジメント戦略 RM-1~3 (リスクマネジメントプロセス、リスク許容度) | |
サプライチェーンリスクマネジメント SC-1~5 (ベンダー等のリスクマネジメントプロセス、対策の実施を契約化、義務履行の定期的評価、対応・復旧計画の策定・テスト) | |
防御 | アイデンティティ・アクセス統制 AC-1~5 (識別、認証情報管理、物理アクセス管理、リモートアクセス管理、最小権限、職務分離、ネットワーク分離、アイデンティティの証明、ユーザ・装置等の認証強度) |
意識向上・研修 AT-1~5 (周知、研修, 役割・責任の理解) | |
データセキュリティ DS-1~8 (保存・伝送データ保護、資産の撤去・譲渡・廃棄、可用性-容量確保、データ漏洩防御、ソフトウェア・情報・ハードウェアの完全性チェック、開発、本番環境分離) | |
情報保護プロセス・手続 IP-1~8 (セキュリティ原則、システム開発ライフサイクル、構成変更管理、情報のバックアッ プ、資産の物理的な運用環境、データの破壊、防御プロセス改善、防御技術情報の共 有、対応・復旧計画の策定・テスト、人事に係る対策、脆弱性管理計画の実装) | |
保守 MA-1,2 (資産の保守(リモート含む)の実施、ログ記録、承認) | |
保護技術 PT-1~5 (監査ログの記録、レビュー、リムーバブルメディアの保護、必須の機能のみの提供、通信・統制ネットワーク保護、レジリエンスの実装) | |
検知 | 異常・イベント AE-1~5 (異常検知、イベント分析・関連付け、影響特定、警告の閾値) |
セキュリティの継続的モニタリング CM-1~8 (イベント検知のためのモニタリング、悪質なコード等の検知、脆弱性スキャン) | |
検知プロセス DP-1~5 (検知手順、責任、テスト、報告、改善) | |
対応 | 対応計画 RP-1 (対応計画の実行) |
伝達 CO-1~5 (利害関係者間の報告、調整、情報共有) | |
分析 AN-1~5 (調査、影響、フォレンジック、分類、入手した脆弱性情報への対応プロセス) | |
軽減 MI-1~3 (封じ込め、軽減) | |
改善 IM-1,2 (対応計画・戦略更新) | |
復旧 | 復旧計画 RP-1 (復旧計画の実施) |
改善 IM-1,2 (対応計画・戦略更新) | |
伝達 CO-1~3 (広報、評判回復、利害関係者報告) |
4.NISTのCSFに関する監査
CSFに関する監査に係る監査手続について,以下,NISTのCSFに係るISACAの 作 成 し た 監 査 / 保 証 手 続 書(IS Audit/Assurance ProgramCybersecurity:Based on the NIST Cybersecurity Framework)を例として紹介する。下記の図表は,当該監査/保証手続書の中の「検知」機能のうち,「異常とイベント」(DE.AE)のサブプロセスについて, 5 つの統制に係るテスト手続を抜粋して,その訳を示したものである。
|
5.まとめ
以上、NISTのCSFの概要として、フレームコア(機能*特定→防御→検知→対応→復旧)、各機能のカテゴリ/サブカテゴリの管理策、NISTのCSFに基づく管理策の監査について紹介した。
さらに詳しくサイバーセキュリティについて学ばれたい方に、以下のeラーニングコースと書籍を紹介させていただきます。
サイバーセキュリティアカデミー(サイアカ)
サイバーセキュリティ専門のeラーニングコースを提供しております。マルウェア解析、IoTのペネトレーションテスト、クラウドセキュリティ、デジタル・フォレンジック、OSINT、FinTech関連のセキュリティなどのコースがあります。 コースについてお知りになりたい方は、以下をクリックください。
書籍のご紹介
サイバーセキュリティの基礎及びその監査の方法をわかりやすく解説しています。サイバーセキュリティの脅威、攻撃手法、対策を詳しく説明するとともに、NISTのサイバーセキュリティのフレームワーク、AICPAのサイバーセキュリティリスクのマネージメント報告なども解説しています。Amazonへのリンク