サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一
CSS部 エバンジェリストの内山です。
すっきりしないのは梅雨の雨模様くらいにして、せめてセキュリティ対策は皆さまの迷いや悩みを解決する一助になりたい。そんな想いを抱きながら、このエントリーを執筆しております。
さて、前回のエントリー
『セキュリティ対策の羅針盤(前編)』
から約1か月が経過しての「セキュリティ対策の羅針盤(後編)」です。
前回紹介した米国国立標準技術研究所(NIST)の「Cybersecurity Framework(以下、CSF)」は、米国の重要インフラ事業者のセキュリティリスク管理を支援するためのセキュリティフレームワークとして策定されました。そしてこのCSFは、日本の重要インフラ事業者のみならず、業種を問わず他の企業でも利用できる大変有用なフレームワークです。
今回は、そのCSFの構成要素と主な活用方法について紹介します。
【CSFの構成要素について】
CSFはセキュリティリスクを管理するためのリスクベース・アプローチであり、以下3つの要素で構成されています。
(1)フレームワークコア(以下、コア)
コアは、サイバー攻撃に対処する企業の機能である 「特定」、「防御」、「検知」、「対応」、「復旧」ごとに、重要インフラ分野に共通するセキュリティ対策のベストプラクティス、期待される成果、参考情報がまとまったものです。
コアはこれら各機能の内容をカテゴリーとサブカテゴリーに細分化し、各サブカテゴリーの実装の参考となる業界標準、ガイドライン、ベストプラクティスを参考情報に例示しています。大まかな例えではありますが、コアはセキュリティ対策の「目標」と、目標を達成するための「活動内容」がリストアップされた枠組みであるとご理解下さい。
(2)フレームワークインプレメンテーションティア(以下、ティア)
ティアは、企業のセキュリティリスクに対するアプローチの特徴、すなわち、企業がどのようにセキュリティリスクを管理していくかを表しています。ティアにはティア1~ティア4までの段階があり、企業は自組織の目標を満たし、かつセキュリティリスクを軽減し、費用対効果に見合ったティアを選択する必要があります。
[ティアの定義]
ティア1:部分的である(Partical)
ティア2:リスク情報を活用している(Risk Informed)
ティア3:繰り返し適用可能である(Repeatable)
ティア4:適応している(Adaptive)
※ティアの詳細な定義はCSFをご参照ください。
外部リンク:
Framework for Improving Critical Infrastructure Cybersecurity Version 1.1(英語)
外部リンク:
重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0版
(3)フレームワークプロファイル(以下、プロファイル)
プロファイルは、企業のビジネス要件、リスク許容度、割当可能なリソースに基づいて、コアをベースに機能、カテゴリー、サブカテゴリーを調整し、まとめたものです。CSFではプロファイルのテンプレートが提供されていませんので、コアをベースにプロファイルを作成することになります。
このとき、コアの全項目を採用する必要はありませんし、逆に必要な要件があれば追加するといった考え方が大切です。また、プロファイルは、「現在のプロファイル(今の状態)」と「目標のプロファイル(目指すべき姿)」を整理し比較することで、セキュリティリスク管理上の目標達成までのギャップを明らかにすることができます。
【CSFの主な活用方法】
CSFは企業で採用している既存のフレームワームやプロセスにとってかわるものではありません。従って、活用イメージの一例としては、企業で採用しているセキュリティリスク管理の現行プロセスとのギャップ部分を見極める、そして各企業の実情をふまえた上で優先度の高いものから改善を施していく、といったものが挙げられます。
以下にCSFの主な活用方法として3例を紹介いたします。
(1)サイバーセキュリティ対策の簡易的なレビュー
ステップ1:「現在のプロファイル」の作成
自組織のビジネス要件、リスク許容度、割当可能なリソースに基づいて、
コアをベースに「現在のプロファイル」を作成します。
ステップ2:ギャップの特定
作成した「現在のプロファイル」とコアに記載されたセキュリティ対策の
ベストプラクティスや期待される成果の達成状況を比較照合します。
比較照合した結果、セキュリティ対策の強化が必要な領域を特定でき、
自組織の経営層やセキュリティ担当者にサイバーセキュリティリスクの
概念を可視化して示すことができるようになります。
(2)サイバーセキュリティ対策の強化プログラムの立ち上げ
ステップ1:優先順位付け
自組織の事業目的・ビジネスミッションを勘案し、セキュリティ対策の
実施に関する戦略的な意思決定を行い、強化すべきビジネスプロセス
またはシステムや資産を特定します。例えば、個人情報や機密情報を扱う
ビジネスを推進する組織の場合、それら情報を取り扱う基幹システムが
セキュリティ対策強化の優先度が高い部類と特定されます。
ステップ2:方向付け
ステップ1で選択されたビジネスプロセスまたはシステムに対し、シス
テムの重要性や想定される脅威、脆弱性を考慮してセキュリティ対策強化
(もしくはリスク低減策)の方向性を決定します。
ステップ3:「現在のプロファイル」の作成
自組織のビジネス要件、リスク許容度、割当可能なリソースに基づいて、
コアをベースに「現在のプロファイル」を作成し、現状を把握します。
ステップ4:リスクアセスメントの実施
自組織の全体的なリスク管理プロセスに基づき、リスクアセスメントを
実施します。その際、最新の脅威動向をふまえた新たなリスクシナリオを
リスク管理プロセスに組み込むことによって、新たなセキュリティリスクの
統制が図られることが期待されます。
ステップ5:「目標のプロファイル」の作成
CSFのカテゴリーとサブカテゴリーのアセスメントに焦点を当てて「目標の
プロファイル」を作成します。自組織の固有リスクに対処するため、独自
カテゴリーやサブカテゴリーを作成・追加すると、より自組織の実情に則した
「目標のプロファイル」を作成することができます。
ステップ6:ギャップの特定・分析および優先順位付け
「現在のプロファイル」と「目標のプロファイル」を比較してギャップを
特定します。次に特定したギャップを解消するため、ビジネスミッション
や費用対効果を勘案し優先順位付けした行動計画を作成します。
ステップ7:行動計画の実施
特定したギャップに対し必要な改善活動を実施します。「目標プロ
ファイル」の達成度は定期的にモニタリングします。
(3)サイバーセキュリティ上の要求事項を利害関係者に伝える
CSFは、重要インフラサービスを提供するパートナー間での要求事項の伝達を可能とする共通言語を提供しますが、業種を問わず他の企業でも同様の活用が可能です。「共通の言語」や「共通のものさし」があると、組織の中での情報共有が円滑に進みますし、組織で求められる一定の水準を明示することもできます。
[主な活用例]
・外部委託業者(例:クラウドサービス)に対するセキュリティリスク
管理上の要件として「目標プロファイル」を利用する
・「現在のプロファイル」を調達要件に対する報告や比較に利用する
・依存するパートナーに対し「目標プロファイル」を用いてセキュリティ
リスクの統制レベルを伝達する
・重要インフラセクターが「目標プロファイル」を利用してベースラインを
作成する
なお、ここまでCSFの活用方法を紹介してきましたが、ノウハウ不足や戦略的な理由でリスクアセスメントを外部の専門家に依頼したいケースもありますよね。その場合は、自らがしっかりとCSFの構成や活用イメージを把握したうえで、CSFを基準とした外部のコンサルティングサービスを活用したいものです。
さて、2回にわたってセキュリティフレームワークについて紹介しました。
セキュリティフレームワークは、その性質上、普遍的な記述内容が多く、毎年のように頻繁に更新されるものではありません。しかし、セキュリティ上の脅威や技術動向、そして世の中の仕組みや産業が進化するにつれて、セキュリティフレームワークもその姿を変えていくものだと思います。
セキュリティフレームワークについて、何かしら大きな更新等のトピックがありましたら、このコラムを通じてご紹介しようと思います。
それでは、次のエントリーでお会いしましょう!
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
