NIST サイバーセキュリティフレームワークについて調べる

学習の目的

この単元を完了すると、次のことができるようになります。

• NIST サイバーセキュリティフレームワークの各部を定義する。
  
• NIST サイバーセキュリティフレームワークの使用方法を説明する。
  

米国標準技術局 (NIST) サイバーセキュリティフレームワーク (CSF) の概要

前のモジュールに登場した、小さな診療所のネットワークセキュリティエンジニアである Jim を覚えていますか? 彼はついに、念願のマイホームを建てることに決めました。そこで彼は大切なものは何かを考えます。子供達が安全に遊べるフェンスで囲まれた庭、子供達それぞれの部屋、客をもてなす屋外のダイニングエリア等々。

そこで彼は友人の建築士に相談して、自分の考えを話しました。彼は家全体をモダンで清潔でミニマリズムな雰囲気で統一したいと考えています。友人の建築士は、設計や建築から仕上げ、そして夢のマイホームへの引っ越しまでのステップを彼に説明しました。

Jim が家を建てるときに事前の計画が不可欠なように、組織のサイバーセキュリティを実現するにも同じく計画が不可欠です。家を建てる場合でも組織のセキュリティプログラムを組む場合でも、事前にフレームワークを用意しておくことで、タスクの優先順位を取り決め、関係者と意思疎通を図って、最終的な目標を達成するために必要な活動、プロセス、注意事項を全員が理解できるように準備することができます。

NIST CSF は、セキュリティリスクの理解、評価、優先度付け、伝達に利用できます。このフレームワークは、米国商務省内の標準化団体によって開発されたものですが、世界中のあらゆる規模の業種、政府、学術機関、非営利団体、組織に適用され、各業界のベストプラクティスに基づいてサイバーセキュリティリスクを管理します。NIST CSF には次の目的があります。

• さまざまな組織に適用する
  
• 組織のセキュリティ体制を強化する
  
• 組織内のあらゆるレベルで明確なコミュニケーションを促進する
  
• ガバナンスとサプライチェーンの重要性を説明する。
  
• サプライヤーやパートナーとのコミュニケーションを改善する
  
• 実装計画の策定を支援する
  
• サイバーセキュリティ関連の問題とより広範な企業リスク管理計画との統合をサポートする
  

NIST CSF は、既存のサイバーセキュリティ戦略を補完するもので、利用できる多くのフレームワークの 1 つに過ぎません。利用できる他のフレームワークの詳細は、この単元の末尾の「リソース」セクションを参照してください。 

NIST CSF の機能について知る

NIST CSF の 6 つの機能は、エグゼクティブレベルから (ネットワークセキュリティエンジニアが日々活動している) オペレーションレベルまで、組織全体に渡るサイバーセキュリティの活動と求められる成果に対応しています。その 6 つの機能とは、Govern (ガバナンス)、識別 (Identify)、防御 (Protect)、検知 (Detect)、対応 (Respond)、復旧 (Recover) です。こういった機能は、組織におけるサイバーセキュリティリスク管理ライフサイクルの包括的な把握に役立ち、アプリケーションセキュリティ、脅威インテリジェンス、ネットワークセキュリティなど、多くのドメインに適用できます。

このモジュールの単元と次のモジュールでは、ネットワークセキュリティエンジニアの役割を理解できるように、この 6 つのサイバーセキュリティ機能に関する情報を提供し、このような機能をどのように適用できるかについて説明します。以下に各機能を簡単に説明します。

1. Govern (ガバナンス): サイバーセキュリティリスク管理計画が設定されます。ガバナンス機能は、サイバーセキュリティリスクがビジネスのミッション達成をどのように混乱させるのかを理解するのに役立ちます。
   
2. 識別 (Identify): サイバーセキュリティリスクが把握されます。識別機能は、ネットワーク上にどのようなアセットとユーザーが存在し、それぞれにどのような脆弱性、脅威、リスクが関連しているかを判断するのに役立ちます。ネットワークセキュリティエンジニアがネットワーク上に何が存在するかを知らなかったら、何も保護することができません。
   
3. 防御 (Protect): リスクを管理するための対策が使用されます。防御機能は、ネットワークデバイス、ネットワークアクセス、ネットワーク上を転送されてネットワーク上に保存されるデータのセキュリティ制御を提供します。また、ネットワークセキュリティのポリシーや手順についてユーザーが確実にトレーニングを受けることを保証します。
   
4. 検知 (Detect): 潜在的なインシデンが発見および分析されます。検知機能は、ネットワーク上で異常な事態や悪意のある状況が発生したことを知り、その影響を理解して、保護対策の効果を検証します。
   
5. 対応 (Respond): 識別されたインシデントに対してアクションが実行されます。 セキュリティプロフェッショナルがどれほど優れた仕事をしても、悪いことは起きます。そのような場合、ネットワークセキュリティエンジニアは、対応プロセスを実行して、セキュリティ侵害の発生中にコミュニケーションを管理できる必要があります。また、失敗から学習することで、今後のセキュリティ体制を強化することも必要です。
   
6. 復旧 (Recover): アセットと影響を受けた業務が復元されます。セキュリティ侵害への対応が完了した後も、影響を受けたシステムを通常業務の状態に復旧させ、ネットワークセキュリティを強化するための改善を実装する役割をネットワークセキュリティエンジニアが担うことがあります。これらは復旧機能の主要な要素です。
   

ガバナンス

まず、フレームワークに最近追加された「ガバナンス」機能によって、組織のサイバーセキュリティリスク管理計画が設定され、その計画が全体的なビジネス目標やリスク許容度と一致していることが確認されます。この機能は分野横断型であり、コンテキストが追加され、セキュリティチームが他の 5 つの機能の結果に優先順位を付けられるように設計されています。ガバナンス機能は 4 つの重要なカテゴリで構成されています。

• 組織の状況: これには、組織のミッション、ビジョン、リスク選好度、およびサイバーセキュリティとビジネスの計画的目標との整合性を確認することが含まれます。
  
• リスク管理計画: これには、サイバーセキュリティリスクの識別、評価、対応を行うための計画を立て、より広範なビジネス目標を確実に補完することが含まれます。
  
• ポリシーと手順: これには、サイバーセキュリティリスク管理計画をサポートするポリシーと手順 (サイバーセキュリティポリシー、トレーニングポリシー、インシデント対応計画など) の確立と適用が含まれます。
  
• 役割と責任: これは、コミュニケーションとコラボレーションのメカニズムの整備に加え、サイバーセキュリティの役割と責任を明確に定義して割り当てることに重点が置かれています。
  

ネットワークセキュリティエンジニアは、ガバナンス機能の基本的な側面では直接的な役割を担うことはないかもしれませんが、決定をサポートし、このフェーズで行われた決定を適用する管理を実装する上で重要な役割を果たします。

習得度チェック

では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の機能を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。最初からやり直すには [リセット] をクリックします。

お見事です。NIST CSF のようなフレームワークの使い方と、セキュリティプログラムを理解して管理する方法を学習しました。次のセクションでは、最初の機能である識別について詳しく解説し、ネットワークセキュリティエンジニアが防御すべきネットワークのデバイス、ユーザー、トポロジーをどのように理解するのかを説明します。

リソース

• 外部サイト: NIST: The NIST Cybersecurity Framework (CSF) 2.0 is Here! (NIST サイバーセキュリティフレームワーク (CSF) 2.0 が登場!)
• 外部サイト: Center for Internet Security Controls
• 外部サイト: ISO/IEC 27001 International Standard for Information Security (ISO/IEC 27001 情報セキュリティ国際標準)