ここ数ヶ月、PSIRTとかCSIRTの構築プロジェクトを担当することになり、これまでしっかり覚えてこなかった情報セキュリティとかサイバーセキュリティ関係のフレームワークについて、自分の覚書のつもりで調べてみました。
#なぜフレームワークが必要なのか?
##フレームワークを活用して自社の組織体制を整備
世界中で標準的に使用されているサイバーセキュリティフレームワークとして、最も有名なフレームワークの一つが**NIST CSF(NIST CyberSecurity Framework)**です。
このフレームワークが登場するまでは、**ISMS(情報セキュリティマネジメントシステム)**が情報セキュリティ対策を考える上で最も利用されていたフレームワークでした。
このNIST CSFの登場によりISMSとの二本立てでサイバー攻撃対策を構築・整備の指針として参照されており、事実上のデファクトスタンダードとも言えます。
なぜフレームワークが必要かというと「情報セキュリティポリシーの策定や社内体制の整備など、どの企業などでもサイバー攻撃に対する確固たる組織を一から作っていくのは専門的知識も必要であり非常に困難だから」です。
そのために、後述するような標準的なフレームワークを参照して、自社に最適なサイバー攻撃対策組織を構築・整備していくために使われるということになります。
#NIST/米国国立標準技術研究所
##NISTとは何か?
NIST(ニストと読みます)とは、National Institute Standards and Technologyの頭文字を取ったもので、日本語では「米国国立標準技術研究所」とか「アメリカ国立標準技術研究所」と表記されることが多いです。
技術書籍によっては「米国商務省標準技術局」と表記されている場合もありますが、これは現在は米国商務省の傘下に置かれている組織のためです。
#サイバーセキュリティフレームワークの種類と一覧
##それぞれ強みと特徴がある
フレームワークと一口に言ってもそれぞれ強みや特徴があるため、どれか一つに絞って自組織のセキュリティ体制を整備するのではなく、フレームワークを複数組み合わせて組織にあったモデルケースを一度作って運用していくケースが多いです。
以下に主なフレームワークを列挙します。
- NIAT CSF
- ISMS
- CIS Controles
- PCI DSS
###NIST CSFの特徴と強み
NIST CSFは2014年2月19日に初版が公開されており、最新バージョンは2018年4月公開のVersion1.1でIPAから**「重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版」**というタイトルで対訳版が公開されています。
このフレームワークの特徴は他のフレームワークと比較して以下の2点にフォーカスしている点があげられ、組織の重要インフラが対象になっています。
- サイバー攻撃に特化
- 組織面の強化
ISMSの特徴と強み
ISMSは特定の業界にフォーカスしたものではなく、情報セキュリティ全般を対象としており、特徴としては以下の2点があげられます。
- 守るべき情報セキュリティ全般の対策
- 組織面の強化
###CIS Controlsの特徴と強み
CIS ControlsについてもISMS同様、特に特定の業界にフォーカスして作成されたものではなく、特徴としては以下の2点があげられます。
- サイバー攻撃対策に特化
- 技術的な対策状況に詳しい
PCI DSSの特徴と強み
PCI DSSはクレジットカード情報をあつかう業界のセキュリティ対策にフォーカスして作られたフレームワークで、特徴としては以下の2点があげられます。
- クレジットカードを扱う際の情報セキュリティ全般
- 技術的な側面にも言及している
##参考サイト一覧
#おわりに
NIST CSFや他のフレームワークについてはまた別の記事で一つ一つ詳細を書いていきます。あくまでも個人的なメモですが、覚えたことについては今後追記していくことになると思います。
それでは