サイバー攻撃が日常化する現代、組織が直面するリスクは、規模や業種を問わずますます複雑化しています。
これに対応するために策定されたのが、米国国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク(CSF)」です。今回、新たにリリースされたCSF 2.0は、従来の重要インフラだけでなく、中小企業を含むすべての組織を対象に、より広範なサイバーリスク管理を可能にするフレームワークとして注目されています。
本記事では、NIST CSF 2.0の概要や新たな機能を中心に、その実践方法や中小企業における対応プロセスについて詳しく解説します。このガイドを通じて、組織としてのサイバーセキュリティ戦略をより効果的に進めていくためのヒントをお届けします。
NIST CSF 2.0とは
NISTサイバーセキュリティフレームワーク(CSF)2.0は、米国国立標準技術研究所(NIST)が開発した、より幅広い分野でのサイバーリスク管理において、標準化されたアプローチを提供するためのフレームワーク最新版です。他のガイドラインに比べ参考資料が多く、専門用語が少なくて取り組みやすいということもあり、このNIST CSFを社内のサイバーセキュリティガイドラインの策定に採用している企業も多いです。現在、あらゆる組織がサイバー攻撃の対象となっていることから、今回の2.0へのバージョンアップに伴い、対象が重要インフラだけでなく中小企業を含むすべての組織に変わっています。また、理解促進のための資料も今回多く公開されており、本ブログの内容も、「NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide Overview」を参考にしています。
NIST CSF 2.0ではサイバーセキュリティ対策を「統治」「識別」「防御」「検知」「対応」「復旧」の6つの要件に分離しています。
下図のように「統治」がその他5つの要件に深くかかわる形でCSF 2.0は成り立っています。ちなみに「統治」は今回の2.0で初めて出てきた要件です。それではそれぞれの要件についてみていきましょう。
統治:サイバーセキュリティ対策への包括的なアクション
NIST CSF 2.0における「統治」を組織内で進めていくためには、次のプロセスを経る必要があります。
理解⇒評価⇒プライオリティ付け⇒コミュニケーション(共有)
特に「統治」というコンセプトで重要なのは、サイバーセキュリティ対策は経営課題であり、責任主体も、IT担当者ではなく、経営者になるということを深く意識することです。
ではまず、「理解」から進めていきましょう。
(1)理解
組織におけるサイバーセキュリティ対策を進めるうえで、経営者は、次の3点を正しく「理解」し、サイバーセキュリティ事故を防ぐための対策を関係者と話し合い、具体的な対策を検討・理解する必要があります。
- ①サイバーセキュリティリスクの経営への影響
- ②サイバーセキュリティに関する、法的、規制上、契約上の責任
- ③ビジネスに係る関係者とのサイバーセキュリティ戦略の作成と実施方法
(2)評価
サイバーセキュリティ事故が引き起こす影響度とそれを防ぐための理解が進んだら、次の「評価」に進みます。ここでは、次の3点を実施することにより、資産(機器)のデータ損失や生産プロセスの停止に伴う被害額や、サイバーセキュリティ保険額の適正度や、サプライヤが自分の期待するサイバーセキュリティ対策をとれるかを「評価」します。
- ①重要資産・運用に対する、想定被害
- ②サイバーセキュリティ保険額の適正額
- ③契約前のサプライヤに対するリスク評価
(3)プライオリティ付け
この評価結果に基づき、他のビジネスリスクとの比較検討をしながら「プライオリティ付け」をしていきます。
(4)コミュニケーション(共有)
プライオリティ付けが完了したら、「コミュニケーション(共有)」として、サイバーセキュリティリスクに対する関係者の意識向上とサイバーセキュリティリスクを管理するためのポリシー、プロセス、メンテナンス方法を組織内に浸透させます。
識別:ビジネスに対するサイバーセキュリティリスクとその対策の識別
上記の図にありますように、「統治」は、プロセス上ほかの5つの項目すべてに関係します。よって、「識別」「防御」「検知」「対応」「復旧」においても、「統治」と同様のプロセスを使用します。
- 識別:資産の可視化
- 理解:資産の全体像を理解
- 評価:それぞれの資産の持つ潜在的なリスク(脆弱性)を評価
- プライオリティ付け:評価結果とビジネスへの影響度の大きさから、守るべき資産の優先度
- コミュニケーション(共有):サイバーセキュリティ戦略に落とし込み、従業員・サプライヤを含めた関係者全員に周知
防御:サイバーセキュリティリスクの低減/防止
従業員の業務内容に基づき、それぞれがアクセスできる(すべき)情報やシステムを「理解」します。情報やシステムへのアクセス現状および、関係者へのサイバートレーニング状況を「評価」し、以下のアクションの「プライオリティ付け」をします。そのうえで、「コミュニケーション(共有)」による関係者へのサイバー攻撃で発生する現象と、その対策の周知を行います。
防御アクション例:
- 多要素認証
- デフォルトパスワードから任意のパスワードへの変更
- 定常的なシステム/パッチの更新
- 定常的なバックアップとバックアップテスト
- ディスクの暗号化
検知:サイバー攻撃や侵害の発見と分析
先ず、サイバーセキュリティインシデントの識別方法を「理解」します。
次に「評価」として次の2点をチェックします。
- ①使用しているシステムや外部サービスが期待通りの動作をしているか
- ②物理環境を評価し、改ざんや不審な活動の兆候がないか
評価内容に基づき、ビジネスインパクトとのバランスを見ながら、プライオリティ付け行います。
- ①全てのデバイスへのアンチウィルスソフトのインストール
- ②内部・外部リソースを使用し、コンピュータ・ネットワーク上の怪しい動きの監視アクション
MSSPや情報セキュリティ統括室などのサイバーセキュリティ対策チームと「コミュニケーション(共有)」し、サイバーインシデントの分析と影響の軽減策を策定します。
対応:「検知」されたサイバーセキュリティインシデント対応
サイバーセキュリティインシデントの対策プランおよび、プランの実行内容と権限者を「理解」します。
次に、サイバーセキュリティ対策の効果とサイバーセキュリティインシデントの原因、深刻度、現象を計るための「評価」を行います。ビジネスへの影響度から、これ以上のダメージを避けるための封じ込め、根絶のステップを踏むためのビジネスインパクトに基づく「プライオリティ付け(アクション)」をします。
明らかになったインシデント内容を内外の関係者に、法律、契約、組織内のポリシーに準じて、「コミュニケーション(共有)」します。
復旧:サイバーセキュリティインシデントの影響を受けたシステムと運用の回復
内外の復旧に係る責任者を「理解」します。次に「事後レポート」を作成し、サイバーインシデントの内容、対応と復旧アクション、学びについて「評価」するのと同時に、稼働再開前に、資産とバックアップデータの完全性を「評価」します。復旧アクションは、ビジネスインパクトとリソース(人・資産・予算)のバランスを見ながら「プライオリティ付け」をします。「コミュニケーション(共有)」は、内外関係者への定期的な復旧報告を関係者内秘で行うとともに、収束後は、インシデント対策の完了と通常業務再開の宣言とその文書化を行います。
以上のように、NIST CSF 2.0は「統治」、「識別」、「防御」、「検知」、「対応」、「復旧」のコンセプトを、「理解」、「評価」、「プライオリティ付け(アクション)」、「コミュニケーション(共有)」という流れで推進することによって実現することができます。
中小企業がNIST CSF 2.0に対応するための3つのプロセス
では実際に製造業のOTセキュリティ担当者が今後北米における調達基準となる可能性のあるNIST CSF 2.0に対応するためには何から始めればよいでしょうか?まずは前述のコアと呼ばれている「統治」、「識別」、「防御」、「検知」、「対応」、「復旧」の6つのコンセプトを理解していただいた後に、これから記載する3つのプロセスを進めていただくと、NIST CSF 2.0への対応がとりやすくなります。
1.課題をリスト化する
コンセプトごとに課題を書き出し、リスト化するとNIST CSF 2.0対策で何ができていて、何をすべきかが見えてきます。例えばこんな感じです。
- 統治関連:
自社のビジネスを進めていくうえでサイバーセキュリティインシデントが引き起こすリスク
法・規制・契約上必要なサイバーセキュリティ対策
自社のビジネスを守るために必要なセキュリティ対策 - 識別関連:
自社の資産(システム・ソフトウェア)とその管理者
自社の資産のサイバーセキュリティ対策状況
サイバーセキュリティインシデント発生時の影響
執るべきサイバーセキュリティ対策 - 対応関連:
関係者へのサイバーセキュリティ教育と周知
守るべき資産と対策のプライオリティ付けと実施プラン
必要な資源(人材・コスト・サービス) - 検知関連:
サイバーセキュリティインシデント発生サイン
侵入検知対策/システム - 対応関連:
インシデント発生時の対策計画
インシデント発生時の対策組織
インシデント発生時のコミュニケーションライン - 復旧関連:
復旧プロセス
インシデントおよび復旧内容の文書化
復旧のコミュニケーションライン
2.リストに記載された項目をTierに合わせレベルに分けて可視化する
NIST CSF 2.0はTierという内容で企業のサイバーセキュリティ対策の対応状況を4つのレベルに分割しています。ざっくり説明すると以下の4つのレベル(Tier)に分かれており、将来北米における取引においても、Tierの数字が、取引条件にかかわってくる可能性があります。
Tier 1:部分的にできている
Tier 2:部署レベルではできているが、全社的な対応ではない
Tier 3:全社的な対応ができている
Tier 4:起こりうるサイバーセキュリティリスクに対し即時的かつ柔軟に適応できる
3.あるべき姿を目指して計画し、ゴールを設定する
現状のTierのレベルを記載したら、会社としてゴールも設定します。これは、NIST CSF 2.0においても「プロファイル」という名称で求められている内容になりますので、将来北米の取引先から、購買条件の中で提示を求められる可能性があります。リスト化したそれぞれの項目に期間とゴールを設定しましょう。
まとめ
NIST CSF 2.0のコアと呼ばれるコンセプトはそれぞれ「識別」=「可視化ソリューション」、「防御」=「セキュリティ対策(アンチウイルス・脆弱性対策・ID管理」、「検知」=「IDS」、「対応」=「IPS」、「復旧」=「バックアップ・復旧システム」と思われがちですが、単なる技術的なソリューションではなく、組織作りや文書化、コミュニケーションプロセスも含まれます。近々にNIST CSF 2.0への対応を北米取引先から求められるケースは少ないと考えますが、サプライヤを踏み台にしたサイバー攻撃の傾向が増えている以上、早めの対策を進めて、ビジネスの継続性を高めていただければと考えます。
