NISTのサイバーセキュリティフレームワークとは?
1.NISTのサイバーセキュリティフレームワークとは?
米国商務省のNISTのサイバーセキュリティフレームワーク v1.1(Framework for Improving Critical Infrastructure Cybersecurity, version 1.1)は,2018年 4 月に改訂されたもので,NIST800-53 Revision 5(Security and Privacy Controls for Federal Information Systems and Organizations)が465ページもの詳細な統制等を記載しているのに対し,チェックリスト的アプローチではなく,リスクベースでどうサイバーセキュリティリスクを管理,軽減していくかの基準,ガイドライン,実践手法をベースとした手引きを提供することを意図している。また,共通のフレームワーク,共通言語を提供することによって,サイバーセキュリティに関する内外の利害関係者間のコミュニケーションを促進することを意図している。NISTのCSFでは,リスクに対応するセキュリティ統制を結び付けるモデルとして,「フレームワークコア」という名のモデルを示している。そこでは,「特定」,「防御」,「検知」,「対応」,「復旧」の 5つの機能ごと管理策(カテゴリ/サブカテゴリ)の例示をしている。当該機能は、サイバーセキュリティリスクの評価・特定→当該リスクへの対策→発生したリスクの検知→対応→復旧というフローとなっている。
2.5つの機能の細分化
NISTのCSF v1.1では,上述の 5 つの機能を下記の図表の右側のようにさらに23のカテゴリに細分化している。また,当該カテゴリは,さらに108のサブカテゴリに細分化されている。カテゴリ/サブカテゴリの内容については、次の3.でまとめている。
v1.1と2014年の最初にリリースされたv1.0との違いは、カテゴリが1個追加されたことと、サブカテゴリが10個追加されたことであり、詳細は以下の通りである。
・「特定」のカテゴリへの「サプライチェーンリスクマネジメント」(ベンダーその他のビジネスパートナーとの関連性に係るリスクマネジメント)が追加され、当該カテゴリに5つのサブカテゴリが追加された(ベンダー等のリスクマネジメントプロセス、対策の実施を契約化、義務履行の定期的評価、対応・復旧計画の策定・テスト)。
・「防御」のカテゴリの「アクセス統制」が「アイデンティティ管理・アクセス統制」になり、サブカテゴリが2個追加になり、アイデンティティ管理、認証・識別の証明(本人確認のため、その識別に使用する属性の値の集合の信頼性を確認すること)が含まれるようになった。
・「防御」のカテゴリの「データセキュリティ」のサブカテゴリが1個追加され、ハードウェアの完全性チェックが含まれるようになった。
・「防御」のカテゴリの「保護技術」で、サブカテゴリが1個追加になり、レジリエンスの実装が含まれるようになった。
・「対応」のカテゴリの「分析」で、サブカテゴリが1個追加になり、入手した脆弱性の情報への対応が含まれるようになった。
.NISTにおけるカテゴリ/サブカテゴリの内容の要約
NISTのCSFの各機能ごとのカテゴリー/サブカテゴリの内容の要約は以下の表の通りです。以下の表には記載していないが、NISTのCSFの中では、各サブカテゴリごとに参考として、COBIT5、NIST SP800-30、ISO27001などの規準等における管理策と紐づけが行われている。
4.NISTのCSFに関する監査
CSFに関する監査に係る監査手続について,以下,NISTのCSFに係るISACAの 作 成 し た 監 査 / 保 証 手 続 書(IS Audit/Assurance Program Cybersecurity:Based on the NIST Cybersecurity Framework)を例として紹介する。下記の図表は,当該監査/保証手続書の中の「検知」機能のうち,「異常とイベント」(DE.AE)のサブプロセスについて, 5 つの統制に係るテスト手続を抜粋して,その訳を示したものである。
5.まとめ
以上、NISTのCSFの概要として、フレームコア(機能*特定→防御→検知→対応→復旧)、各機能のカテゴリ/サブカテゴリの管理策、NISTのCSFに基づく管理策の監査について紹介した。
さらに詳しくサイバーセキュリティについて学ばれたい方に、以下のeラーニングコースと書籍を紹介させていただきます。
サイバーセキュリティアカデミー(サイアカ)
実践的で、わかりやすく、お手頃価格で、いつでもどこでも学べるサイバーセキュリティ専門のeラーニングコースを提供しております。マルウェア解析、IoTのペネトレーションテスト、クラウドセキュリティ、デジタル・フォレンジック、OSINT、FinTech関連のセキュリティなどのコースがあります。 コースについてお知りになりたい方は、https://cyberprotec.jpにアクセスください。
書籍のご紹介
サイバーセキュリティの基礎及びその監査の方法をわかりやすく解説しています。サイバーセキュリティの脅威、攻撃手法、対策を詳しく説明するとともに、NISTのサイバーセキュリティのフレームワーク、AICPAのサイバーセキュリティリスクのマネージメント報告なども解説しています。Amazonへのリンク