サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一
CSS部 エバンジェリストの内山です。
新年度がスタートし早2か月が過ぎましたが、皆さまいかがお過ごしでしょうか。高い志を持ち社会へ飛び込んだ新社会人の方、新たな環境で「今年こそは」と心機一転スタートされた方も、そろそろひと息つきたいところではないでしょうか。
今年度も「セキュリティ」という切り口で皆さまのお役に立てる情報を目指してコラムを発信してまいります。皆さまの迷いや悩みの解決の一助、そして新たな気づきを与えられることができましたら幸いです。
それでは本題に入りましょう。
サイバー攻撃とセキュリティ対策の関係は、時に「終わりのない戦い」と形容されることがあります。自社システムや重要情報をサイバー攻撃の脅威から守るため、セキュリティ対策の方向性は合っているか、想定される脅威に対し対策に漏れがないか、どこまで対策を講じればよいか等、セキュリティ担当者の悩みは尽きません。コストをかけセキュリティ対策をするのですから、そこに「一定の到達基準」や「目指すべきゴール」を決めたいものですね。
そこで、「セキュリティ対策の羅針盤」となるセキュリティフレームワークをテーマに前・後編に分けて話を進めたいと思います。
早速ですが、セキュリティフレームワークに関して面白いデータがあります。2016年のプライスウォーターハウスクーパース株式会社の調査レポートによると、日本企業ではISO27001の採用比率は26%で、他のフレームワークと比較して偏重しています。一方で、海外企業ではISO27001の採用は40%と一番高いものの、次点のNIST Cybersecurity Frameworkの採用が35%とISO27001に迫る勢いです。
ちなみに海外企業で採用が広がっている「NIST Cybersecurity Framework」ですが、日本企業の採用率は9%です。採用が進まない理由として、前述のとおり日本企業はISO27001の採用が多いことから新たなフレームワークの採用に踏み切ることに二の足を踏んでいるのかもしれません。あるいは「NIST Cybersecurity Framework」自体が日本では重要インフラ事業者を中心に採用が進んでいるものの、他業界に対しては広く浸透されていないからかもしれませんね。
ここからは、この「NIST Cybersecurity Framework」を紹介したいと思います。
【NIST Cybersecurity Framework とは】
米国国立標準技術研究所(NIST)の「Cybersecurity Framework(以下、CSF)」は、
2013年2月の大統領令第13636号「重要インフラのサイバーセキュリティの向上」に
基づき、米国政府と産業界により策定されたセキュリティフレームワーク。
2014年5月にIPAよりCSFの翻訳版が公開されています。
外部リンク:
重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0版
CSFは米国の重要インフラ事業者のセキュリティリスク管理を支援するためのセキュリティフレームワークですが、業種を問わず様々な企業で利用できる有用なものです。CSFはサイバー攻撃に対処する企業の機能として「特定」「防御」「検知」「対応」「復旧」ごとに施策をまとめています。これら5つの機能について企業が実施すべきことを大まかに表現すると、以下のとおりになります。
特定
:組織において”どのようなセキュリティリスクがあるか”、”守るべき
システムや資産・データは何か”を特定する
防御
:特定したセキュリティリスクの多寡に応じて適切な防御策を検討し
実施する
検知
:構築した防御策を突破される恐れのある状況、あるいは突破された
ことを検知するための対策を検討し実施する
対応
:検知したセキュリティイベント(異常・事象)に対処するための
適切な対策を検討し実施する
復旧
:発生したセキュリティイベント(異常・事象)によって阻害された
機能やサービスを復旧するための適切な対策を検討し実施する
実際はこれら機能単位をカテゴリとサブカテゴリに細分化した上で、企業のサイバーセキュリティ対策のベストプラクティスとなる施策が記載されています。これだけを見ると、CSFを採用する敷居が高く感じられるかもしれませんが、CSF自体は企業が採用している現行のフレームワークやプロセスを否定するものではありません。CSFはセキュリティリスク管理における現行プロセスとのギャップ部分を優先度の高いものから取り込む、「改善する仕組み」としての機能を提供しています。
【CSF v1.1 の公開】
2018年4月16日、NISTよりCSF v1.1が公開されました。v1.0と比較して特徴的な更新は「サプライチェーンリスク管理」の重要性が強調された点にあります。
外部リンク:
Framework for Improving Critical Infrastructure Cybersecurity Version 1.1(英語)
サプライチェーンリスクについては、2017年に発生した海外事例のような攻撃が国内企業で発生したことは確認されておりません。(表沙汰になっていないだけかもしれませんが…)
サプライチェーンの脆弱な部分を狙った攻撃のため、攻撃者がその有効性を認めれば重要インフラ事業者のような特定企業だけではなく、多くの企業が対象となる脅威と言えるでしょう。その意味でCSFに「サプライチェーンリスク管理」が追記されたことは大変意義深いと感じております。
なお、サプライチェーンリスクについては前回のコラムでご紹介しておりますので興味のある方はご覧になってください。
【エバンジェリスト・ボイス】サプライチェーンに対するセキュリティ対策のすすめ
さて、CSFの概要を駆け足でご紹介しましたが、皆さまのセキュリティ対策強化に何かしらお役に立てれば幸いです。
後日、後編のエントリーではCSFの活用方法を中心にご紹介したいと思います。
それでは、次のエントリーでお会いしましょう!
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
