企業がデジタル化を進めるにあたり、セキュリティリスクへの対策は向き合わざるを得ない課題となっている。しかし、高度化するテクノロジーを背景に、さまざまなセキュリティリスクが存在する時代へと移り変わる中で、網羅的にリスクを把握することは難しくなっている。そうした状況下において、先進的な企業で活用が進む、米国NISTが運営するサイバーセキュリティフレームワークについてこの記事では解説していく。
NISTによるサイバーセキュリティフレームワーク策定の背景
企業におけるセキュリティ対策は、その企業の所在する国内のセキュリティ事情にも大きな影響を及ぼすことになりかねない。そのため、国が主導し、遵守すべきセキュリティ対策のフレームワークやポリシーを作成しているケースがある。日本国内においても、経済産業省およびIPAが「サイバーセキュリティ経営ガイドライン」を公開している。このガイドラインでは、サイバー攻撃に対抗するために、特に経営の視点からセキュリティ対策を講じるための考え方や原則についてまとめている。
日本以外の国でもサイバーセキュリティに関するフレームワークが公開されているが、その中でも重要視されているのが、NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)が定めるサイバーセキュリティフレームワーク(以下、NIST CSF)だ。NIST CSFは世界各国の企業がセキュリティ対策を講じる際に参照するセキュリティフレームワークとして知られている。IPAでも「重要インフラのサイバーセキュリティを改善するためのフレームワーク」として、NIST CSFの翻訳版を公開。日本国内でもさまざまな企業や公的機関がこのフレームワークを採用するに至っている。
NIST CSFを運営するNISTは米国商務省傘下で測定科学や規格標準化の確立、および産業技術を進歩させることをミッションとしている。NISTが手掛け、サイバーセキュリティ関連でよく知られているのは「NVD(National Vulnerability Database )」だろう。NVDは「国家的脆弱性データベース」と訳されるように、「SCAP(Security Contents Automation Protocol)*1」を使用した、ソフトウェアの脆弱性を集約したデータベースのことである。
*1 NISTが開発した情報セキュリティ対策の自動化と標準化を目的とした手順であり、6つの標準仕様から構成されている。
NISTがセキュリティフレームワークを定めた背景には、米国におけるセキュリティリスクの高まりがある。ITが国家のインフラと化したことにより、サイバーセキュリティのリスクも加速度的に増大。その状況に対応するため、2014年にはサイバーセキュリティ強化法が制定される運びとなった。この法律では、重要なインフラを担う事業者が利用できるサイバーセキュリティフレームワークをNISTが策定していくことが明記された。また、ビジネス上のニーズと合致させたサイバーセキュリティリスク対策遂行のための「共通言語」として、NIST CSFを2014年2月にバージョン1.0として公開。2018年4月には改訂されたバージョン1.1が公開されている。
米国の政府機関では、調達先にNIST CSFへの対応を求めている。米国政府と直接的な取引がない場合でも、米国企業との連携や拠点設置などを行う企業では、NIST CSFに準じたセキュリティ対策が要求されると考えてよいだろう。日本国内において、このような対応は高いセキュリティレベルが要求される大企業以外は必要ないものと解釈されがちだ。しかし、NIST CSFの内容は業種や企業の規模は問わないものとなっているため、米国内の企業との接点がないような中小企業でも、セキュリティ対策を講じる際に参考として利用する価値があるだろう。
NIST CSFの概要
NIST CSFの概要を把握するためには、フレームワークを構成する3つの要素への理解が欠かせない。
1)フレームワークコア(Framework Core)
業種や重要インフラとは関係なく、共通となる具体的なサイバーセキュリティ対策を示したものである。必要なセキュリティ対策を検討する際に、自社に足りないセキュリティ対策を明確にし、必要なツールを導入するための指針となる。「識別(Identify)」、「防御(Protect)」、「検知(Detect)」、「対応(Respond)」、「復旧(Recover)」という5つのコア機能と、23のカテゴリーで構成されている。
2)インプリメンテーションティア(Implementation Tier)
自社のセキュリティ対策のレベルがどの程度にあるのか、客観的な判断が必要になることもある。NIST CSFの2つ目の要素であるインプリメンテーションティアは、組織のサイバーセキュリティ対策がどの段階にあるのかを評価する基準を示すものとなっている。「ティア1(部分的である)」から、「ティア4(適応している)」の4段階に分かれており、現状が低いレベルにある場合は、より高いレベルを目指すことが推奨される。必ずしも上のレベルに到達することが求められているわけではなく、組織が置かれている状況や費用対効果から総合的に判断すべきとしている。
3)フレームワークプロファイル(Framework Profile)
自社の置かれた経営環境やリスク許容度、割り当て可能なリソースに基づき、サイバーセキュリティ対策の現状と、あるべき姿を記述するために利用する。「現状(As-Is)」と「あるべき姿(To-Be)」を記述し、そのギャップを明確にすることで、企業はセキュリティ対策の改善計画を策定できるようになる。なお、NIST CSFにおいては、組織ごとの環境や特性、戦略が異なるという観点からプロファイルのひな型は準備されていない。
NIST CSFにおける5つのコア機能
先述したNIST CSFの3要素の中において、最初に説明したフレームワークコア(Framework Core)は5つのコアで構成され、その具体性の高さから、セキュリティ対策を講じる上で中心的な役割を果たすことが期待される。ここではその5つのコアについてそれぞれ説明する。
図1: NIST CSFにおける機能とカテゴリーの識別子(IPA)
1)識別(Identify)
「資産管理」、「ビジネス環境」、「ガバナンス」、「リスクアセスメント」、「リスクマネジメント戦略」、「サプライチェーンリスクマネジメント」の計6つのカテゴリーで構成される。組織が目標を達成するためのリソース管理や、経営環境を考慮に入れたリスクマネジメントといった方法などについてまとめている。
2)防御(Protect)
「アイデンティティ管理とアクセス制御」、「意識向上およびトレーニング」、「データセキュリティ」、「情報を保護するためのプロセスおよび手順」、「保守」、「保護技術」の6つのカテゴリーで構成される。サイバー攻撃への防御として、認証やアクセス制御といったシステム面での対策に加え、組織的な対策や保守といった、幅広い領域について言及している。
3)検知(Detect)
「異常とイベント」、「セキュリティの継続的なモニタリング」、「検知プロセス」の3つのカテゴリーで構成される。近年では、サイバー攻撃の兆候を早期に捕捉する必要性が高まっている。事前に検知できれば、サイバー攻撃を未然に防ぐことができる可能性が高まるため、対策を講じる企業には参考になるはずだ。
4)対応(Respond)
「対応計画の作成」、「コミュニケーション」、「分析」、「低減」、「改善」の5つのカテゴリーで構成される。どれほど強固なセキュリティ対策を講じようとも、確実に攻撃を防ぐことは現実的に難しい。そこで、サイバー攻撃による被害遭遇を前提に、求められる組織的な対応策について定義している。
5)復旧(Recover)
「復旧計画の作成」、「改善」、「コミュニケーション」の3つのカテゴリーで構成される。セキュリティインシデントが発生した場合は、事業を継続させるための早急な復旧が欠かせない。具体的な復旧方法をはじめ、内外の関係者へのコミュニケーションといった広報面についても焦点をあててまとめている。
NIST CSFで高次的なセキュリティ対策を
サイバー攻撃による被害は企業にとって、実害があるだけでなく、社会的な信頼の失墜すら招きかねない、極めて重たい課題となりつつある。また、世界的な規模で広がるサイバー攻撃の影響は企業だけにとどまらず、国家にも波及する恐れもあり、対策を講じることはもはや企業の社会的責任と位置付けられるようになってきている。こうした時代背景からも、今回紹介したNISTのサイバーセキュリティフレームワークが日本国内でも活用が進むことが見込まれる。
NIST CSFは効果的、かつ実践的であることに加え、国際標準ともいえるフレームワークだ。企業の規模や業種とは関係なく、サイバーセキュリティ対策を効果的に進めるための一助としてほしい。
