1. 要約
- NISTのサイバーセキュリティフレームワーク(以下、CSF)で定義されている機能・カテゴリに対応するソリューションを考えてみました。
- 本記事の内容は随時更新していきます。
2. CFSとは
3. 識別(IDENTIFY)
| カテゴリ | サブカテゴリ | ソリューション | 具体例 |
|---|---|---|---|
| 資産管理 | 自組織内の物理デバイスとシステムが、目録作成されている。 | 資産管理ツール | SKYSEA Client View |
| 〃 | 自組織内のソフトウェアプラットフォームとアプリケーションが、目録作成されている。 | 資産管理ツール | SKYSEA Client View |
| 〃 | 組織内の通信とデータフロー図が、作成されている。 | ネットワーク可視化ツール | RedSeal |
| 〃 | 外部情報システムが、カタログ作成されている。 | CASB | Microsoft Cloud App Security |
| 〃 | リソース(例:ハードウェア、デバイス、データ、時間、人員、ソフトウェア)が、それらの分類、重要度、ビジネス上の価値に基づいて優先順位付けられている。 | DLP | Microsoft DLP |
| 〃 | その他 | - | - |
| ビジネス環境 | - | - | - |
| ガバナンス | - | - | - |
| リスクアセスメント | 資産の脆弱性が、識別され、文書化されている。 | ・脆弱性管理ツール ・Webアプリケーション脆弱性検査ツール ・CSPM |
・Rapid7 InsightVM ・UBsecure Vex ・Palo Alto Networks Prisma Cloud |
| 〃 | サイバー脅威に関する情報が、複数の情報共有フォーラムおよび複数のソースから入手されている。 | 脅威インテリジェンス | - |
| 〃 | その他 | - | - |
| リスクマネジメント戦略 | - | - | - |
| サプライチェーンリスクマネジメント | - | - | - |
4. 防御(PROTECT)
| カテゴリ | サブカテゴリ | ソリューション | 具体例 |
|---|---|---|---|
| アイデンティティ管理、認証/アクセス制御 | 認可されたデバイス、ユーザ、プロセスのアイデンティティと証明書が、発行、管理、検証、取り消し、監査されている。 | IAM | Azure AD |
| 〃 | 資産に対する物理アクセスが、管理され、保護されている。 | 物理セキュリティ | - |
| 〃 | リモートアクセスが、管理されている。 | VPN | - |
| 〃 | アクセスの許可および認可が、最小権限の原則および役割の分離の原則を組み入れて、管理されている。 | IAM | Azure AD |
| 〃 | ネットワークの完全性が、保護されている(例:ネットワークの分離、ネットワークのセグメント化)。 | ・Firewall ・UTM |
・Cisco ASA ・Fortinet FortiGate |
| 〃 | IDは、ID利用者の本人確認がなされ、証明書に紐付けられ、インタラクションで使用されている。 | MFA | Windows Hello |
| 〃 | ユーザ、デバイス、その他の資産は、トランザクションのリスク(例:個人のセキュリティおよびプライバシー上のリスク、その他組織にとってのリスク)の度合いに応じた認証(例:一要素、多要素)が行われている。 | MFA | Windows Hello |
| 意識向上およびトレーニング | - | セキュリティ教育 | - |
| データセキュリティ | 保存されているデータが、保護されている。 | 暗号化 | ・Bitlocker ・EFS |
| 〃 | 伝送中のデータが、保護されている。 | TLS | - |
| 〃 | 可用性を確保するのに十分な容量が、維持されている。 | 監視 | - |
| 〃 | データ漏えいに対する防御対策が、実装されている。 | DLP | Microsoft DLP |
| 〃 | 完全性チェックメカニズムが、ソフトウェア、ファームウェア、および情報の完全性を検証するために使用されている。 | FIM | Tripwire |
| 〃 | 完全性チェックメカニズムが、ハードウェアの完全性を検証するために使用されている。 | TPM | - |
| 〃 | その他 | - | - |
| 情報を保護するためのプロセスおよび手順 | 情報のバックアップが、実施され、維持され、テストされている。 | バックアップ | - |
| 〃 | (インシデント対応および事業継続)対応計画と(インシデントからの復旧および災害復旧)復旧計画が、策定され、管理されている。 | BCP | - |
| 〃 | 対応計画と復旧計画が、テストされている。 | BCP | - |
| 〃 | 脆弱性管理計画が、作成され、実装されている。 | ・脆弱性管理ツール ・Webアプリケーション脆弱性検査ツール |
・Rapid7 InsightVM ・UBsecure Vex |
| 〃 | その他 | - | - |
| 保守 | - | ログ管理ツール | Logstorage |
| 保護技術 | 監査記録/ログ記録の対象が、ポリシーに従って決定され、文書化され、実装され、その記録をレビューされている。 | ログ管理 | Logstorage |
| 〃 | リムーバブルメディアは、保護され、その使用がポリシーに従って制限されている。 | 資産管理ツール | SKYSEA Client View |
| 〃 | 通信(情報)ネットワークと制御ネットワークが、保護されている。 | TLS | - |
| 〃 | メカニズム(例:フェールセーフ、ロードバランシング、ホットスワップ)が、平時及び緊急時においてレジリエンスに関する要求事項を達成するために実装されている。 | 冗長化 | - |
| 〃 | その他 | - | - |
5. 検知(DETECT)
| カテゴリ | サブカテゴリ | ソリューション | 具体例 |
|---|---|---|---|
| 異常とイベント | ネットワーク運用のベースラインと、ユーザとシステムで期待されるデータフローが、定められ、管理されている。 | NTA | Darktrace |
| 〃 | 検知したイベントは、攻撃の標的と手法を理解するために分析されている。 | SOC構築 | - |
| 〃 | イベントデータは、複数の情報源やセンサーから収集され、相互分析されている。 | SIEM | Splunk |
| 〃 | イベントがもたらす影響が、判断されている。 | SOC構築 | - |
| 〃 | インシデント警告の閾値が、定められている。 | SIEM | Splunk |
| セキュリティの継続的なモニタリング | ネットワークは、サイバーセキュリティの潜在的なイベントを検知できるようにモニタリングされている。 | ・IDS/IPS ・WAF ・UTM |
・Cisco IPS ・Scutum ・Fortinet FortiGate |
| 〃 | 人員の活動は、サイバーセキュリティの潜在的なイベントを検知できるようにモニタリングされている。 | UEBA | Exabeam |
| 〃 | 悪質なコードは、検知されている。 | EPP | Trend Micro Deep Security |
| 〃 | 不正なモバイルコードは、検知されている。 | SWG | McAfee Web Gateway |
| 〃 | 権限のない人員、接続、デバイス、ソフトウェアのモニタリングが、実施されている。 | NAC | PFU iNetSec |
| 〃 | 脆弱性スキャンが、実施されている。 | ・脆弱性管理ツール ・Webアプリケーション脆弱性検査ツール |
・Rapid7 InsightVM ・UBsecure Vex |
| 〃 | その他 | - | - |
| 検知プロセス | 検知に関する役割と責任は、説明責任を果たせるように明確に定義されている。 | SOC構築 | - |
| 〃 | 検知活動は、該当するすべての要求事項を準拠している。 | SOC構築 | - |
| 〃 | 検知プロセスが、テストされている。 | SOAR | Splunk Phantom |
| 〃 | イベント検知情報が、周知されている。 | SOAR | Splunk Phantom |
| 〃 | 検知プロセスが、継続的に改善されている。 | SOAR | Splunk Phantom |
6. 対応(RESPOND)
| カテゴリ | サブカテゴリ | ソリューション | 具体例 |
|---|---|---|---|
| 対応計画 | - | CSIRT構築 | - |
| コミュニケーション | 人員は、対応が必要になった時の自身の役割と行動の順序を認識している。 | ・標的型メール訓練 ・TLPT |
- |
| 〃 | インシデントが、定められた基準に沿って報告されている。 | ・標的型メール訓練 ・TLPT |
- |
| 〃 | その他 | CSIRT構築 | - |
| 分析 | 検知システムからの通知は、調査されている。 | SOC構築 | - |
| 〃 | フォレンジックが、実施されている。 | デジタルフォレンジック | - |
| 〃 | その他 | CSIRT構築 | - |
| 低減 | - | CSIRT構築 | - |
| 改善 | - | CSIRT構築 | - |
7. 復旧(RECOVER)
| カテゴリ | サブカテゴリ | ソリューション | 具体例 |
|---|---|---|---|
| 復旧計画 | - | CSIRT構築 | - |
| 改善 | - | CSIRT構築 | - |
| コミュニケーション | - | CSIRT構築 | - |
8. 参考資料
9. 免責事項
- 本記事の作成および公開は投稿者本人の個人的な学習を目的としており、完全性、網羅性および正確性の保証は一切ありません。
- 本記事の内容より損失または損害が発生した場合でも、投稿者はいかなる責任も負いません。(自己責任でお願いします。)
10. 更新履歴
- 2021/5/13:初版投稿
- 2021/5/17:「NISTサイバーセキュリティフレームワークとは」を追加
- 2021/5/18:IDS/IPSの具体例を追加
- 2021/5/19:UTMを追加、WAFの具体例を追加
- 2021/5/20:NACの具体例を追加
- 2021/6/2:SWGの具体例を追加
- 2021/6/3:Webアプリケーション脆弱性検査ツールを追加