##はじめに
先週DVAを合格しましたので、今日からセキュスペ学習を開始したのでその中ででてきたNIST CSFをまとめました。
よろしくお願いします(。・ω・)ノ゙
##NIST CSFとは
NISTとは、National Institute of Standards and Technologyの略で**「米国国立標準技術研究所」**という機関になる。
CSF(サイバーセキュリティフレームワーク)とはセキュリティ管理手法の概念・管理方針・体制の整備
NIST CSFは、コア・ティア・プロファイルという3つの要素で構成されています。
** ・コア:分類ごとにまとめられたサイバーセキュリティ対策の一覧
・ティア:分類ごとに対策状況を数値化し、その成熟度評価基準(4段階)
・プロファイル:組織のサイバーセキュリティに対する対応状況の現在と目標**
コアには「特定(Identity)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」と5つの分類がされています。それぞれに複数のカテゴリーが含まれて合計23個のカテゴリがあります。
##CSFのコア機能:特定
・資産管理(ID.AM)
組織のビジネス目的達成を可能にするデータ、要因、デバイス、システム、施設をビジネス上の目標および組織のリスク戦略から見た相対的な重要度と矛盾しない形で識別し、管理します。
・ビジネス環境(ID.BE)
組織の命令、目標、利害関係者、アクティビティを理解し優先順位を設定します。この情報はサイバーセキュリティの役割、責任範囲、リスク管理上の意思決定を通知するために使用します。
・ガバナンス(ID.GV)
組織の規則上の欲求事項、法的欲求事項、リスク上の欲求事項、環境上の欲求事項、運用上の欲求事項が理解されているかどうかを管理および監視し、サイバーセキュリティリスクをシニアマネジメント層に通知するための方針、手順、プロセスです。
・リスク評価(ID.RA)
組織の運営(使命・機能・イメージ・社会的評価を含む)、組織の資産、個人に対するサイバーセキュリティリスクとして利用します。
・リスク管理戦略(ID.RM)
組織の優先順位、制約、リスク許容度、前提を明確化し、運用リスクに関する意思決定の裏付けとして利用します。
・サプライチェーンリスク管理(ID.SC)
組織の優先順位、制約、リスク許容度、前提を明確化しサプライチェーンリスク管理に関する意思決定の裏付けとして利用します。組織は、サプライチェーンリスクを識別し、評価、管理するためのプロセスを確立し、導入しています。
##CSFのコア機能:防御
・アイデンティティ管理とアクセス制御(PR.AC)
物理的な資産と論理的な資産、関連施設にアクセスできるのは正当
な権限のあるユーザー、プロセス、デバイスのみに限定され、正当な権限のあるアクティビティやトランザクション
への不正アクセスに関して想定されている、評価済みのリスクに矛盾しない形で管理されている。
・意識向上およびトレーニング(PR.AT)
組織の要員およびパートナーに対して、サイバーセキュリティに関する意識
教育が提供され、関連する方針、手順、取り決めに従ってサイバーセキュリティ関連の義務および責任を果たすため
のトレーニングが実施されている。
・データセキュリティ(PR.DS)
情報及びレコード(データ)が組織のリスク戦略に従って管理され、情報の機密性、完全性、可用性が保護されている。
・情報を保護するためのプロセスおよび手順(PR.IP)
セキュリティ方針 (目的、範囲、役割、責任、経営者のコミット
メント、組織間の連携を取り扱ったもの)、プロセス、手順が維持管理され、情報システムと資産の保護を管理する
ために利用されている。
・保守(PR.AM)
工業用制御システムと情報システムを構成している要素の保守及び修理が、手順に従って実施されている。
・保護技術(PR.PT)
システムと資産のセキュリティおよびレジリエンスを確保するために、関連する方針、手順、取
り決めに従って技術的なセキュリティソリューションが管理されている。
##CSFのコア機能:検知
・異常とイベント(DE.AE)
異常なアクティビティを的確なタイミングで検知し、当該のイベントが及ぼす潜在的な影響を把握する
・セキュリティの継続的なモニタリング(DE.CM)
情報システムと情報資産を別個の感覚で監視して、サイバーセキュリティイベントを洗い出し、保護手段の有効性を検証する
・検知プロセス(DE.DP)
異常なイベントがタイムリーかつ適切に認識されるように、検知のプロセスおよび手順を維持管理し、検査する。
##CSFのコア機能:対応
・対応計画の作成(RS.RP)
検知されたサイバーセキュリティイベントにタイムリーかつ確実に対応できるよう、対応のプロセスおよび手順を実施し、維持管理する。
・低減(RS.MI)
イベントの拡大阻止、影響の低減、インシデントの除去に向けたアクティビティを実施する。
・コミュニケーション(RS.CO)
当該する場合に、司法当局による外部からの支援を含めるよう、社内および外部の利害関係者と対応アクティビティについて協議する。
・分析(RS.AN)
十分な対応の保証及び復旧アクティビティの支援に向けて、分析を実施する。
・改善(RS.IM)
これまでの検知・対応アクティビティから得られた教訓を取り入れて、組織の対応アクティビティを改善する。
##CSFのコア機能:復旧
・復旧計画(RC.RP)
復旧のプロセスおよび手順を実施し、維持管理して、サイバーセキュリティイベントの影響を受けたシステムまたは資産をタイムリーかつ確実に復旧する。
・改善(RC.IM)
得られた教訓を以後のアクティビティに採り入れて復旧の計画及びプロセスを改善する。
・コミュニケーション(RC.CO)
復旧のアクティビティについてコーディネートセンター、インターネットサービスプロバイダ、攻撃側システムの所持者、被害者、ほかのCSIRT、ベンダーなど社内および外部の当事者と協議する。
##おわりに
セキュスペを取りに行くうえでまずはNIST CSFとはなんぞやというのを勉強してきました。
その中でAWS側の責任範囲や客の責任範囲などAWSサービスにおけるCSFへの準拠について詳しく見ることができました。
(。・ω・)ノ゙バイバイ