NIST CSF Tools の紹介
NISTのサイバーセキュリティフレームワーク(CSF)とプライバシーフレームワーク (PF) をより理解しやすく、アクセスしやすくするためのツールがいくつかCSFツールで提供されています。提供されているサイトの名称は、CSF Toolsですが、サイバーセキュリティフレームワーク(CSF)とプライバシーフレームワーク (PF)の2つが対象になっています。
このうち、利用してみて面白かったツールを紹介します。
フレームワークと管理策
最初にCSFとPF、SP 800-53について簡単に説明します。
CSFには、バージョン1.1(V1.1)と2024年2月に更新されたバージョン2(V2.0)があり、V2.0では、V1.1にあった特定、防御、検知、対応、復旧の5つの機能にガバナンス加わり6つになりました。機能の下にカテゴリとサブカテゴリが用意されています。CSFツールではV2.0も利用可能になり始めているようです。
PFは、サイバーセキュリティに関するリスクアセスメントツールであるCSFと対になるプライバシーに特化したリスクアセスメントツールとして2020年1月にNISTから発行されました。機能には、特定、統制、管理、通知、対応の5つがあります。CSF同様、機能の下にカテゴリとサブカテゴリが用意されています。
これら二つのフレームワークに対応して、サイバーセキュリティの管理策とプライバシー保護のための管理策を統合して改訂された管理策のセットが、SP 800-53 Revision5です。
これから紹介するツールを利用することで、CSF、PFと管理策の関係について理解を深めることができると思います。
ノードリンク図
今回紹介するのは、CSFと管理策の関係を視覚化するツールの一つであるノードリンク図です。CSFの機能、カテゴリ、サブカテゴリと管理策セットの関係を視覚的に理解することができます。見てみましょう。
ぐにょぐにょしていておもしろいと思います。オレンジ色の最大サイズのノードがCSFのV.1.1です。それにつながる中サイズのノードが「機能」で色分けされています。残りのノードは同じサイズで、「カテゴリ」と「サブカテゴリ」で、それぞれリンクされて表示されます。
ノードにマウスをあてるとノードの説明が表示され、ノードをドラッグすると適当な場所に移動して固定することができます。
管理策セットを選択するとCSFサブカテゴリとの間にリンクが張られた状態で選択した管理策のノードが表示されます。選択した瞬間に爆発したようになり面白いです。爆発音は出ないです。
ノードをドラッグすると、その位置で固定されます。背景をスクロールまたはドラッグすることでズームすることもできます。ノードにマウスを合わせると、詳細情報が表示されます。
このツールでは、どの管理策がどのCSFサブカテゴリに影響を与えるのかがわかります。例として、管理策セットとして、SP 800-53のRevision5 を選択し、フィルター機能で管理策ファミリーに「IA]を選択します。
表示されたノードを並べ替えると次の図のようになり、その過程で管理策とCSFサブカテゴリの関係がわかるようになります。ぐにょーんとするのを捕まえて固定するので面倒ですが、なぜか時間を忘れてやってしまいます。
フィルターでは、管理策ファミリー以外に、脅威ベクターや管理策ベースライン(低、中、高、プライバシー)を選択することができます。例えばベースラインに「低」を選択すると表示される管理策の数が減り、次のような表示になります。
上の例としては、SP800-53の識別と認証ファミリー(IA)を取り上げました。管理策ファミリーの解説は、画面右のフレームワークとコントロールの下のリンクからたどって詳細を読むことができます。これも便利。
PFについても同じ操作で同様に利用することが可能です。
最後に
サイバーセキュリティフレームワーク、プライバシーフレームワークを活用していて、どのような管理策を適用すべきか検討する際に便利に使えるツールかなということで紹介しました。NIST、特にサイバーセキュリティフレームワークについては学習するための教材が揃っていてすごいなあと思います。読んでいただいておもしろいと感じてもらったりお役に立ちましたら、うれしいです。ツールを使ってみての感想や他のツールについての紹介依頼とかがありましたらコメントお願いします。
この記事が気に入ったらサポートをしてみませんか?