NISTが提唱するサイバーセキュリティフレームワーク(CSF)とは?
世界のあらゆる業種で用いられるNIST サイバーセキュリティフレームワークは、事実上の国際基準になり、グローバルなビジネスを展開する企業では必須となりつつあります。ハッキングやマルウェア感染などの攻撃を受けることを前提とし、攻撃者が最終目的までは果たせないようにするための枠組みであるNIST サイバーセキュリティフレームワークについて、構成要素や対応するメリットについて解説します。
サイバーセキュリティフレームワーク(CSF)とは
NIST(米国国立標準技術研究所)は多数のセキュリティに関するガイドラインを発行していますが、サイバーセキュリティフレームワークの最新版であるVersion 1.1が2018年4月に発行されました。正式名称は、Framework for Improving Critical Infrastructure Cybersecurityであり、日本語では「重要インフラのサイバーセキュリティを改善するためのフレームワーク」と訳されています。少し長いので、この記事ではNIST CSFという略称を使います。NISTの文書は、IPA(独立行政法人 情報処理推進機構)が翻訳しドキュメント化を進めていますので、企業のITインフラ担当者やセキュリティ担当者は、目を通しておくことをお勧めします。
内容としては、攻撃を受けることを前提に、攻撃者が最終目的までは果たせないようにする多層防御、攻撃下におけるインシデント対応、通常運用に戻すための復旧という、一連のセキュリティ機能に必要な要件を提示していることが特長です。このフレームワークの下に、NIST SP800シリーズがあるという関係性で、NIST CSF自体は具体策ではなく指針や管理手法を示すものです。
情報セキュリティに関するガイドラインとしてはISMSが有名で、日本では非常に多くの企業がこのISMS認証を取得しています。こちらは、機密性(情報漏えいしない)、完全性(情報が改ざんされない)、可用性(情報システムがダウンしない)を求めたものです。それに対してNIST CSFは、サイバー攻撃対策に特化した内容になっています。このため、ISMSを取っているからCSFに対応する必要はないだろうと考えるのは間違いです。もちろん、ISMSはもう役に立たないというわけではありませんが、これからはNIST CSFに対応していることが入札条件に入ってくることも大いに考えられますので、知らないではすませられません。
その他、NIST CSFには以下のような特徴があります。
- 公開されていて誰でも無償で利用可能
- さまざまな企業で使えるように、汎用的な要件として定義されている
NIST CSFの3つの構成要素
NIST CSFは、コア、インプリメンテーションティア、プロファイルという3つの要素で構成されています。これは、何について対応しなければいけないのかという機能をコアで示し、それぞれについてどの程度対応できているかを評価した成熟度をインプリメンテーションティアとして定義し、自社の現状をプロファイルとして文書化するという流れになっています。
コア
コアには、識別、防御、検知、対応、復旧という5つの機能が定義されています。さらに、それぞれの機能について3~6のカテゴリと、その下のサブカテゴリがあります。機能ごとのカテゴリは以下のようなものです。
- 識別:資産管理、ビジネス環境、ガバナンス、リスクアセスメント、リスクマネジメント戦略、サプライチェーンリスクマネジメント
- 防御:アイデンティティ管理とアクセス制御、意識向上およびトレーニング、データセキュリティ、情報を保護するためのプロセスおよび手順、保守、保護技術
- 検知:異常とイベント、セキュリティの継続的なモニタリング、検知プロセス
- 対応:対応計画の作成、コミュニケーション、分析、低減、改善
- 復旧:復旧計画の作成、改善、コミュニケーション
見て分かるとおり、技術的というよりは、企業の体制やガバナンスについて対応を求める内容が多くなっています。
インプリメンテーションティア
コアで定義された各機能のカテゴリに、どの程度対応できているかを、4段階で評価します。
- ティア1:部分的である(適切な対策は整備されておらず、場当たり的な対処)
- ティア2:リスク情報を活用している(対策を整備している)
- ティア3:繰り返し運用可能である(対策を整備し、定期的に見直している)
- ティア4:適応している(自社システムだけでなく、関連企業とのエコシステムとしての依存関係を考慮したリスクマネジメントが確立している)
4段階のうち、ティア1であればもちろんティア2を目指すことが推奨されますが、NIST CSFでは、すべての企業にティア4を目指すことは要求していません。業種によって、あるいはその企業の立ち位置によって、どの程度成熟しているべきであるかは異なるからです。
ティアという言葉はデータセンターファシリティのランク付けでも使われていますが、同じようなものと考えるとわかりやすいかもしれません。データセンターファシリティでは、金融系システムなどを収容するにはティア4が、一般的なクラウドサービスなどではティア3からティア3+が必要とされています。
プロファイル
フレームワークプロファイルは、自社の状況を文書化することを規定していますが、決まった書式があるわけではありません。自社のビジネス上の要求事項やリスク許容度、どの程度のリソース(予算や人材)を割けるかなどに基づいて、あるべき姿と現状を、きちんと文書化することを求めています。
NIST CSFに準拠することで分かること・メリット
NIST CSFの特徴としては、冒頭で述べたように、サイバー攻撃対策に特化、汎用的、無償公開され誰でも利用可能といったものがあります。また、セキュリティというと、万が一のときのための対策、保険のようなものとイメージしがちですが、NIST CSFはどちらかといえばビジネス的な側面が強いものとなっています。
インプリメンテーションティアは、必ずしもティア4を求めておらず、むしろ、自社が達成すべき成熟度はどこで、現時点ではどこまでできているかを自覚することが重要です。それによって、まだ手つかずになっている対策のうち、どれを優先させるべきかを明らかにすることができるからです。ただし、政府調達基準など、入札条件でティアを指定されることがあるのは意識しておきましょう。
インプリメンテーションティアの評価とプロファイルの文書化によって得られるメリットは、以下のようにまとめられます。
- 自社のサイバーセキュリティの現状を知ることができる
- 目標達成の進捗状況を把握し、未着手の対策の優先順位をつけることができる
- 経営層や取引先などに、自社の対策状況を客観的な指標で説明することができる
まとめ 攻撃されることを前提にした対策が求められている
NIST CSFはサイバー攻撃に特化した内容ですが、特に、攻撃を受けることを前提としてセキュリティを考えることが求められています。また、一度評価したらそれで終わりではなく、あるべき姿に向けて取り組み続けることが重要です。NIST CSFは国際基準となりつつあり、水準に満たない企業は入札に参加できない、システムを接続できないなど、グローバルなビジネスで遅れを取ることになりかねません。現在CSFはVersion 1.1ですが、今後更新されていくと考えられますので、NIST情報は常にウォッチしておきましょう。
ティア2やティア3と評価されるために具体的にどのような対策が必要かといった内容は、NIST SP 800シリーズのガイドラインに規定されています。こちらも、識別、防御、検知、対応、復旧というフレームワークコアの5つの機能に対応する内容になっていますので、タニウムのサイバー衛生管理(ハイジーン)やEDRなどのソリューションが有効な対策となるでしょう。