重要インフラのサイバーセキュリティを改善するためのフレームワーク
発行機関:アメリカ国立標準技術研究所(National Institute of Standards and Technology, NIST)
発行年月日:2018年4月
原文:https://doi.org/10.6028/NIST.CSWP.04162018
和訳(IPA):https://www.ipa.go.jp/files/000071204.pdf
概要
2013年2月にアメリカのオバマ大統領は、重要インフラのサイバーセキュリティの強化に向けた大統領令(Exective Order)を発令しました。その指令により、NISTは重要インフラ事業者に向けたリスクマネジメントを改善するためのフレームワークを策定しました。それが CSF(Cyber Security Framework)です。
大統領令の解説等(IPA)
https://www.ipa.go.jp/files/000027052.pdf
CSFには以下の特徴があります。
- サイバー攻撃対策に特化
- 広く企業に適用できるように要件を汎用化
- リスクベースアプローチを採用
- フレームワーク自体を無償公開
CSFは一般の企業でもその考え方を取り入れることができるため、日本のみならず、世界中の企業・組織での活用が進んでいます。
CSFは主に以下の3つの内容で構成されています。
- フレームワークコア
- フレームワークインプリメンテーションティア
- フレームワークプロファイル
フレームワークコア
以下の分類に沿って、セキュリティの対策をまとめています。フレームワークコアをもとに、現状の対策の分析を行います。
特定:「守るべき情報資産」と「脅威」を特定する
防御:攻撃を防ぐための仕組みを導入する
検知:攻撃を検知するための仕組みを導入する
対応:攻撃された場合の対応を迅速に行えるようにする
復旧:攻撃による影響を取り除き、迅速に復旧する
フレームワークインプリメンテーションティア
フレームワークインプリメンテーションティアは、現状のセキュリティ対策や、今後組織として目指すべき目標を設定するための成熟度の評価基準です。
フレームワークプロファイル
フレームワークプロファイルは、セキュリティ対策の現状や、目標とするセキュリティ対策をまとめたものです。
フレームワークの使い方
ステップ1:優先順位付けを行い、範囲を決定する。
ステップ2:方向づけを行う。
ステップ3:現在のプロファイルを作成する。
ステップ4:リスクアセスメントを実施する。
ステップ5:目標のプロファイルを作成する。
ステップ6:ギャップを判断・分析し、優先順位付けを行う。
ステップ7:行動計画を実施する。
ガイドラインの解説では、上記のように使い方が開設されています。
ステップ1-2では、セキュリティを強化する対象範囲とそこに含まれる情報資産の特定、要求事項の整理をし、ステップ3-4ではフレームワークコアを使った現状の対策状況の整理と、リスクの洗い出し、ステップ5-7で、目標とのギャップを見て、計画の立案・実行という流れになると思います。