この記事は NewsPicks Advent Calendar 2019 の21日目の記事です。
NewsPicksでエンジニアをしている@betchiです。
最近セキュリティに関連するお仕事の割合が増えてきているので、この記事ではNIST(米国国立標準技術研究所)が公開しているサイバーセキュリティーフレームワークについて書きます。ここ数年でセキュリティフレームワークのデファクトスタンダード(グローバルで)となりつつあるので興味はあるけどドキュメント見る程ではないという方に是非読んで頂ければと思います。
NISTとは
米国国立標準技術研究所の略称であり、米国の技術や産業、工業などに関する規格標準化を行っている政府機関です。暗号技術の研究でも有名です。
サイバーセキュリティフレームワークとは
NISTの情報技術研究所(ITL)のコンピューターセキュリティ部門(CSD)が2014年2月19日に公開した「Framework for Improving Critical Infrastructure Cybersecurity」の事です。
その後、改訂版が2018年4月16日に「Framework for Improving Critical Infrastructure Cybersecurity Version 1.1」が公開されました。
本記事ではこのver1.1の内容を紹介していきます。
このフレームワークは米国大統領令13636号「重要インフラのサイバーセキュリティの改善」を受けて策定されたものです。
なお日本の組織であるIPA(情報処理推進機構)では「重要インフラのサイバーセキュリティを改善するためのフレームワーク」というタイトルで和訳されています。
これだと長いので一般的には「サイバーセキュリティフレームワーク」と言われています。すごく一般的な用語だと感じるのですが、ネットで検索してもNISTのものしかヒットしないのでサイバーセキュリティフレームワークと言えば通じるようです。
IPAではサイバーセキュリティフレームワーク以外にもNISTの文書を和訳しており以下のページに各文書へのリンクがはられています。サイバーセキュリティフレームワークはページの下の方にある「その他のNIST文書」にあります。
特徴
全ての組織において万能なフレームワークというわけではない
このフレームワークはセキュリティに関して全ての組織において万能なアプローチではないと名言しています。組織によって異なるリスクがあり、このリスクをマネジメントする為に必要な対策を判断し、優先順位を決め、限られたコストの中で費用対効果を最大化する事が適切であるというスタンスです。
セキュリティに関する指針や管理手法を示すだけ
よって、このフレームワークでは具体的なセキュリティ対策については定義しておらず、セキュリティに関する指針や管理手法を示すだけとなっています。具体的なセキュリティ対策についてはリファレンスとして紹介されるかたちになっているので、自分たちの組織に合わせたものを選択する事が重要になります。ちなみに具体的な対策例としてはNISTのSP800シリーズのドキュメントに記載されています。こちらもIPAが和訳しています。
継続的に内容が見直されている
フレームワークの内容については多くの専門家の意見を取り入れることで、サイバーセキュリティ対策としての網羅性や鮮度が継続的に保たれており、数年後に陳腐化するという事にはならなそうです。
ISMS(情報セキュリティマネジメントシステム)との関連性
日本国内でセキュリティと言えばよくISMSが出てきますが、これとの関連性を説明します。
このフレームワークは前述した通り具体策が定義されているわけではなく、具体的なセキュリティ管理策としてISMSが参考情報として紹介されていたりします。よってISMSと相反するわけではないという事です。
扱っている内容の差分としてはISMSではリスクの識別や防御といった予防を重視した内容となっていますが、サイバーセキュリティフレームワークではそれだけでなく攻撃を受けたときの検知、対応、復旧といった事後対応にも多く言及しています。
米国での利用率
このフレームワークは米国の民間企業の約30%で利用され、2020年までに50%に達すると予測されているようです。(参考)
文書内に「規模に関係なく、企業、政府機関、非営利組織で利用することができる」と記載されておりどんな組織にも適用できるフレームワークとなっているので、日本国内でも活用する企業が増えてきているようです。
長くなりましたが実際のフレームワークの内容については3つの構成で成り立っており、それぞれ説明していきたいと思います。
フレームワークを構成する3つの要素
サイバーセキュリティフレームワークは以下の3要素で構成されています。
- フレームワークコア
- フレームワークインプリメンテーションティア
- フレームワークプロファイル
1つずつ説明していきます。
フレームワークコア
5つのリスク管理機能、23のカテゴリ、108のサブカテゴリからなり、サブカテゴリ別に参考情報が纏められています。参考情報にはリスク管理機能を支援するための実施手順やセキュリティ管理策が纏められており、何を利用するのか、もしくはしないのかというのは組織に委ねられています。
本記事では概要に留めるため、機能とカテゴリのみ以下の表に纏めておきます。これを見るだけでもセキュリティ対策って何を考えたら良いのか?というもやもやが解決します。
| 機能 | カテゴリ | 内容 |
|---|---|---|
| 識別(ID) | 資産管理(ID.AM) | 自組織が事業目的を達成することを可能にするデータ、人員、デバイス、システム、施設が、識別され、組織の目的と自組織のリスク戦略における相対的な重要性に応じて管理されている |
| ビジネス環境(ID.BE) | 自組織のミッション、目標、利害関係者、活動が、理解され、優先順位付けが行われている。この情報は、サイバーセキュリティ上の役割、責任、リスクマネジメント上の意思決定を伝えるために使用されている | |
| ガバナンス(ID.GV) | 自組織に対する規制、法律、リスク、環境、運用上の要求事項を、管理し、モニタリングするためのポリシー、手順、プロセスが理解されており、経営層にサイバーセキュリティリスクについて伝えている | |
| リスクアセスメント(ID.RA) | 自組織は、(ミッション、機能、イメージ、評判を含む)組織の業務、組織の資産、個人に対するサイバーセキュリティリスクを把握している | |
| リスクマネジメント戦略(ID.RM) | 自組織の優先順位、制約、リスク許容度、想定が、定められ、運用リスクに対する意思決定を支援するために利用されている | |
| サプライチェーンリスクマネジメント(ID.SC) | 自組織の優先順位、制約、リスク許容度、想定が、定められ、サプライチェーンリスクマネジメントに関連するリスクに対する意思決定を支援するために利用されている。自組織は、サプライチェーンリスクを識別し、分析・評価し、管理するためプロセスを定め、実装している | |
| 防御(PR) | アイデンティティ管理とアクセス制御(PR.AC) | 物理的・論理的資産および関連施設へのアクセスが、認可されたユーザ、プロセス、デバイスに限定されている。また、これらのアクセスは、 認可された活動およびトランザクションに対する不正アクセスのリスクアセスメントと一致して、管理されている |
| 意識向上およびトレーニング(PR.AT) | 自組織の人員およびパートナーは、関連するポリシー、手順、契約に基づいた、サイバーセキュリティに関する義務と責任を果たせるようにするために、サイバーセキュリティ意識向上教育とトレーニングが実施されている | |
| データセキュリティ(PR.DS) | 情報と記録(データ)が、情報の機密性、完全性、可用性を保護するための自組織のリスク戦略に従って管理されている | |
| 情報を保護するためのプロセスおよび手順(PR.IP) | (目的、範囲、役割、責任、経営コミットメント、組織間の調整について記した)セキュリティポリシー、プロセス、手順が、維持され、情報システムと資産の防御の管理に使用されている | |
| 保守(PR.MA) | 産業用制御システムと情報システムのコンポーネントの保守と修理が、ポリシーと手順に従って実施されている | |
| 保護技術(PR.PT) | 技術的なセキュリティソリューションが、関連するポリシー、手順、契約に基づいて、システムと資産のセキュリティとレジリエンスを確保するために管理されている | |
| 検知(DE) | 異常とイベント(DE.AE) | 異常な活動は、検知されており、イベントがもたらす潜在的な影響が、把握されている |
| セキュリティの継続的なモニタリング(DE.CM) | 情報システムと資産は、サイバーセキュリティイベントを識別し、保護対策の有効性を検証するため、モニタリングされている | |
| 検知プロセス(DE.DP) | 検知プロセスおよび手順が、異常なイベントに確実に気付くために維持され、テストされている | |
| 対応(RS) | 対応計画の作成(RS.RP) | 対応プロセスおよび手順が、検知したサイバーセキュリティインシデントに対応できるように実施され、維持されている |
| コミュニケーション(RS.CO) | 対応活動が、内外の利害関係者との間で調整されている(例:法執行機関からの支援) | |
| 分析(RS.AN) | 分析は、効果的な対応を確実にし、復旧活動を支援するために実施されている | |
| 低減(RS.MI) | 活動は、イベントの拡大を防ぎ、その影響を緩和し、インシデントを解決するために実施されている | |
| 改善(RS.IM) | 組織の対応活動は、現在と過去の検知/対応活動から学んだ教訓を取り入れることで改善されている | |
| 復旧(RC) | 復旧計画の作成(RC.RP) | 復旧プロセスおよび手順は、サイバーセキュリティインシデントによる影響を受けたシステムや資産を復旧できるよう実行され、維持されている |
| 改善(RC.IM) | 復旧計画およびプロセスが、学んだ教訓を将来の活動に取り入れることで改善されている | |
| コミュニケーション(RC.CO) | 復旧活動は、内外の関係者(例:コーディネーティングセンター、インターネットサービスプロバイダ、攻撃システムオーナー、被害者、他組織のCSIRT、ベンダ)との間で調整されている |
フレームワークインプリメンテーションティア
組織が現状どの程度達成できているかを数値化するための成熟度評価基準として以下の4段階のティアを定義しています。これをカテゴリ別に定義していきます。
必ずしも全てにおいてティア4を目指すことが正解ではなく、組織のビジネス上の要求事項、リスクの許容度、割当て可能なリソースに応じて、カテゴリー毎に目指すべきティアを設定する事が重要です。
| ティア | 定義(概要) |
|---|---|
| ティア1: 部分的である(Partial) | サイバーセキュリティリスクが適切に管理されておらず、リスクは場当たり的に、場合によっては事後に対処される状態 |
| ティア2: リスク情報を活用している(Risk Informed) | サイバーセキュリティリスク意識はあるが、リスクを管理するための組織全体にわたる取り組みは定められていない状態 |
| ティア3: 繰り返し適用可能である(Repeatable) | リスクの変化に効果的に対応するための一貫した手法が存在しており、従業員は割り当てられた役割、責任を果たすための知識とスキルを持っている状態 |
| ティア4: 適応している(Adaptive) | 発生する可能性のあるサイバーセキュリティイベントに対処するためのリスク情報を活用したポリシー、プロセス、手順を用いた組織全体のサイバーセキュリティリスクマネジメントのアプローチが確立されており、意思決定の際にはサイバーセキュリティリスクと組織の目的の間の関係が明確に理解され、考慮されている状態 |
フレームワークプロファイル
ビジネス上の要求事項、リスク許容度、割当可能なリソースに基づいて調整された機能、カテゴリ、サブカテゴリを纏めたものです。
具体的なサイバーセキュリティ対策の現在の状態と目指す目標の状態を記述する事で必要なギャップを浮き彫りにする事でこのギャップを埋める為の行動計画を立てやすくする事が目的です。
なお、プロファイルの形式は定義されていないので各組織で決める必要があります。
まとめ
システムにおいて稼働率100%を達成することが非現実的であり目指すべきものではないというのと同じ様に、この不確実性の多い世の中においてセキュリティ面でもインシデント発生率を0%にする事を目指すべきではなく、組織のビジネス上の要求事項、リスクの許容度、割当て可能なリソースに合わせたゴールを決め、そこに向かって行動し、そのプロセスを定期的に見直す事が重要だと思います。
セキュリティ対策について考えなければいけなくなった時に、経験のない人がゼロから独自で考えて脆弱なセキュリティ対策を実施する、という誰にとっても意味がない事をしない為にも指針としてこういったフレームワークを適用するべきだと思います。
明日は@takehiloさんの記事です、お楽しみに!!