はじめに
NISTサイバーセキュリティフレームワーク(CSF)2.0は、より幅広い分野でのサイバーリスク管理において、標準化されたアプローチを提供するために導入された、初期フレームワークの最新版です。米国国立標準技術研究所(NIST)が開発したこのフレームワークは、さまざまな分野におけるサイバーセキュリティのベストプラクティスのベンチマークとなっています。バージョン2.0は2024年2月26日にリリースされました。そこで、本記事ではNISTCSF2.0における主な変更点と、ITとOTの統合によって影響するポイントについて解説します。
NIST CSF2.0の主な更新点
CSF2.0新バージョンの変更点について、適用範囲の変更、ガバナンスの重要性の強調、OT/ICS関連規格との統合、CSF2.0実装ガイドの更新点、サイバーセキュリティサプライチェーンリスク管理の更新点、サイバーセキュリティ指標と評価など、6つの部分に分けて簡潔に説明します。
1.CSF2.0の適用範囲の拡大
サイバーセキュリティフレームワーク(CSF)2.0の新バージョンでは適用範囲を広げて、フレームワークの適用性を高めることを目指しています。CSF2.0は、当初の「重要なインフラストラクチャのサイバーセキュリティ向上のためのフレームワーク」に代わり、より一般的で広く受け入れられている名称「サイバーセキュリティフレームワーク」を採用しています。この変更は、重要インフラ組織に関わる部分を減らそうとしたものではなく、むしろより幅広い分野での利用促進のためのものです。さらに、CSF1.1のリリース以降、米国議会はNISTに対して、CSF内で中小企業や高等教育機関のサイバーセキュリティのニーズを考慮するよう要請してきており、規模や種類を問わず、企業や組織がより高いレベルで適用できるようになっています。CSF2.0への更新では、国際協力と関与の重要性も強調されています。2013年にCSFが発効して以来、いくつかの国や組織が、CSFがサイバーセキュリティへの取り組みの効率性と有効性を高めることに成功していることを実証してきました。一部の国では、官民両分野での使用を義務付けているケースまであります。そのため、NISTは、外国政府や産業界との緊密な交流を通じて、CSFを国際的なリソースとして位置づけることを計画しています。また、NISTは、国際的なサイバーセキュリティリスク管理の基準やガイドラインの策定や改訂にも積極的に参加し、CSFと国際的な取り組みとの連携をさらに強化していきます。
2.ガバナンスの重要性を強調
CSF1.1は、「識別(Identify)」、「防御(Protect)」、「検知(Detect)」、「対応(Respond)」、「復旧(Recover)」という5つのコア機能で構成されていました。CSF2.0では、「ガバナンス」機能が追加されました。この新しいガバナンス機能は、フレームワークの中心的な機能として位置付けられており、これまでの5つの機能とは異なります。「ガバナンス」機能では、組織の設定の理解、サイバーセキュリティ対策の策定、サプライチェーンリスクの管理、役割と責任の定義、ポリシーと手順の作成、サイバーセキュリティ対策の監視までを行います。言い換えれば、他の5つの機能をどのように実施するかを示すものです。
3.OT/ICSの標準のフレームワークへの統合
NISTは、コミュニティと協力して、CSF2.0に対応するマッピングの作成を促進・奨励しています。これらの参照資料を使用して、CSFを、「モノのインターネット(IoT)サイバーセキュリティ機能ベースライン」や、「運用制御技術(OT)セキュリティガイド」(SP 800-82改訂版3校)などの特定のリソースと併せて、追加ガイドとすることができます。これはさらに、CSF2.0とゼロトラストアーキテクチャの原則(NIST SP 800-207)との間の関連性も明確にできます。このような機能レベルとカテゴリーレベルのマッピングにより、CSF2.0と他のリソースとの互換性が高まり、実用性と適用性が向上します。
4.CSF2.0への実装ガイダンスの追加
CSF2.0の更新内容は、CSFコアの各カテゴリー/サブカテゴリーで示されている結果を得るための、実践的なサンプルを組み込むことに重点が置かれています。今回の更新の目的は、組織の行動計画を作成するためのテンプレートを提供し、組織がフレームワークを推進し適用するのをより実行可能にすることにあります。このアプローチの導入は、重要インフラからあらゆるタイプの組織へとCSFの適用性を拡大することを目的としています。CSF2.0で示されている具体的な実装例は、簡潔かつ実践的であり、CSFのサブカテゴリーの特定の結果を達成できるよう組織を支援することを目指しています。これらの概念的な事例は、「セキュアソフトウェア開発フレームワーク」(SP 800-218)や「人工知能リスク管理フレームワークアクションマニュアル」(AI 100-1)のドラフトなど、他のNISTドキュメントですでにうまく利用されています。今回のような実践的な事例を追加することで、CSFの実施ガイドラインが拡張・改善され、各サブカテゴリーの意味や目的が明確になっただけでなく、サイバーセキュリティ基準にそれほど詳しくない人々にとっても、具体的な実施アプローチがわかるようになりました。
5.サイバーセキュリティサプライチェーンリスク管理
CSFフレームワークの過去の更新時にNISTが受け取ったフィードバックでは、サプライチェーンとサードパーティのサイバーセキュリティリスクが、組織が直面する主な課題として多数寄せられていました。「国家のサイバーセキュリティを改善するための大統領令」(EO 14028)を受け、CSF1.1では、「サプライチェーンリスク管理」(ID.SC)カテゴリーと調達の意思決定に関する新しいコンテンツが追加されました。これは、既存の製品やサービスに関連するリスクを理解するためにCSFフレームワークを使用することに力点が置かれ、システムおよび組織のためのサイバーセキュリティサプライチェーンリスク管理プラクティス(SP 800-161r1)の基準をCSFフレームワークに統合しています。しかし、グローバル化に伴い、アウトソーシングやクラウドコンピューティングなどの技術サービスの利用が増加しています。今回の新しいCSF2.0では、組織がサプライヤやサードパーティの協力者のリスクをより明確な方法で特定、評価、管理することの重要性が示されています。CSF2.0では、この管理を実施するためのさまざまな方法が説明されています。たとえば、サプライチェーン管理をコア要件としてガバナンス機能に組み込むこと、サプライヤの事前調査/継続的な監視/サイバーセキュリティ成果評価に特化した新しい機能を作成すること、NISTが「国家のサイバーセキュリティを改善するための大統領令」(EO 14028)に従って更新したセキュアソフトウェア開発フレームワークに従うことなどです。これらの変更内容には、NISTがCSFフレームワークにおいてサプライヤとサードパーティの協力者のリスクを重視していること、さらにこれらのリスク管理策の継続的な更新と改善が反映されています。
6.サイバーセキュリティの指標と評価
サイバーセキュリティ指標と評価の主な目的は、組織がサイバーリスクをどの程度管理しているかを判断し、継続的な進捗状況を追跡することにあります。CSF2.0により、サイバーセキュリティの成熟度を測定および評価するための統一された分類と用語を採用することができます。CSF2.0では、測定と評価にCSFを使用する例が示されているため、各組織固有のリスク、優先事項、およびシステムが反映させられます。米国サイバーセキュリティ社会基盤安全保障庁(CISA)は、サイバーセキュリティフレームワーク2.0の機能に沿った、分野横断的なサイバーセキュリティパフォーマンス目標(CPG)を自主的に発行しました。これらの目標は、重要インフラ分野のITおよびOTの所有者を支援することにあり、基本的なサイバーセキュリティの優先順位付けされたセキュリティ対策と基準を含む、望ましい対策ポートフォリオを提供しています。これらのベンチマーク目標は、意思決定、経費、および促進項目に優先順位を付けながら、産業界のサイバーセキュリティ態勢を改善するのに役立ちます。同時に、NISTは「情報セキュリティのパフォーマンス測定のためのガイド」(SP 800-55r2)を更新し、情報システムにおけるサイバーセキュリティ計画や意思決定、パフォーマンス、アカウンタビリティを改善するための指針を示しています。このガイドは、さまざまなサイバーセキュリティプログラム活動の測定に適用でき、サイバーセキュリティの測定と実施の基本原則は、NIST SP 800-55に記されています。
IT/OT統合環境でのNIST CSF2.0の実装方法
実際、CISAのCPGには、NISTサイバーセキュリティフレームワーク(CSF)を実施するための効果的な方法が示されています。このアプローチを用いると、重要インフラの所有者やメーカーは、サイバーセキュリティ成熟度を測定・強化しながら、組織の活動を標準化された方法で評価することができます。CPGに概要が示されている各トピックでは、既知のリスクや攻撃者の手法の発生可能性や影響を低減するために、関連するリスク、望ましいセキュリティ対策、運用、範囲、および望ましい結果を取り上げています。さらに、CISA CPGは、実際の脅威と、悪意を持った攻撃者の手口、技術、手順(TTP)を評価するのに役立ち、軽減戦略の対応策として利用できます。以下では、重要インフラの所有者やメーカーが、OT環境でNIST CSF2.0をどのように適用できるかを説明するために、具体的なアクションを示しています。
表1.
| NIST CSF の機能 |
セキュリティ 対策 |
推奨されるアクション | TXOne Networksの 対応製品 |
|---|---|---|---|
| ガバナンス(GV) |
セキュリティ対策 第三者によるサイバーセキュリティ制御の有効性検証 |
推奨されるアクション OT/ICS資産に対するサイバーリスク評価を定期的に実施します。この場合、評価の不可欠な要素として、サードパーティのOT/ICS組織との契約に関連するリスクの評価と、規制要件の変更の調整を網羅する必要があります。 |
TXOne Networksの対応製品 ・Portable Inspector |
| ガバナンス(GV) |
セキュリティ対策 サプライチェーンの脆弱性の開示 |
推奨されるアクション 調達書類および契約(サービスレベルアグリーメント(SLA)を含む)には、ベンダーやサービスプロバイダーが、顧客のリスク評価に示された期間に従って、自社製品で確認されたセキュリティ上の脆弱性について顧客に通知することが義務づけられています。 |
TXOne Networksの対応製品 ・Portable Inspector |
| 識別(ID) |
セキュリティ対策 資産インベントリ |
推奨されるアクション 組織は、IPv6およびOTシステムを含むIPアドレスがふられたすべての資産のインベントリを、ITおよびOTの両方について、少なくとも毎月定期的に更新しなければなりません。 |
TXOne Networksの対応製品 ・Portable Inspector |
| 識別(ID) |
セキュリティ対策 既知の脆弱性の軽減 |
推奨されるアクション CISAの既知の悪用された脆弱性カタログに従い、インターネットに接続されているシステムの脆弱性は、最も重要な資産を優先して、迅速にパッチを適用するか、軽減策を講じます。 従来のパッチ適用が実行不可能な場合や運用上の安全性を損なうOT資産については、ネットワークセグメンテーションや監視などの代替手段を用いて、文書化しておきます。これらの対策は、公衆インターネットへのアクセスを防止し、悪用のリスクを低減することを目的としています。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire |
| 防御(PR) |
セキュリティ対策 ネットワークセグメンテーション |
推奨されるアクション OTネットワークへのアクセスは厳重に管理し、特定のIPアドレスやポートなど、必要な接続のみを許可するようにします。ITとOT間のネットワーク間通信には、ファイアウォール、要塞ホスト、「ジャンプボックス」、またはDMZなどの中間デバイスを使用しなければなりません。これらは厳密に監視およびログ記録され、承認された資産のみが許可されるようにします。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire |
| 防御(PR) |
セキュリティ対策 失敗した(自動)ログイン試行の検知 |
推奨されるアクション すべてのログイン試行の失敗を追跡し、2分以内に5回など、短時間に複数回の失敗が発生した場合には、それぞれのセキュリティチームに警告を発するようにします。これらのアラートは、今後の分析のためにログに記録しておきます。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire |
| 防御(PR) |
セキュリティ対策 強力かつ迅速な暗号化 |
推奨されるアクション 組織は、技術的に可能な限り、転送中のデータを保護するために、適切に設定され、更新されたSSL/TLSプロトコルを採用します。また、ポスト量子暗号への最終的な移行に備えつつ、時代遅れ、または脆弱な暗号化方式を検出し、より強力なアルゴリズムに置き換えることも推奨されます。 OT環境では、遅延を減らして可用性を維持するために、特に遠隔地や外部の資産が関与するOT通信に対しては、可能な限り暗号化を適用するようにします。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire |
| 防御(PR) |
セキュリティ対策 デフォルトでマクロを無効化する |
推奨されるアクション デフォルトのシステムポリシーでは、Microsoft Officeのマクロまたは同様の埋め込みコードなど、不要な機能をすべてのデバイスで無効化します。特定の条件下で特定のサービスを有効にする必要がある場合は、明確なポリシーを策定しておきます。これにより、承認されたユーザーは、指定された資産上でこれらのサービスのアクティベーションを要求できます。 |
TXOne Networksの対応製品 ・Stellar |
| 防御(PR) |
セキュリティ対策 デバイス設定の文書化 |
推奨されるアクション 効果的な脆弱性管理、対応、復旧を行えるように、あらゆる重要なIT資産およびOT資産の設定に関する最新かつ包括的な記録を維持します。これらのドキュメントは、定期的に見直し、更新、監視を行います。 |
TXOne Networksの対応製品 ・Portable Inspector |
| 防御(PR) |
セキュリティ対策 ネットワークトポロジーの文書化 |
推奨されるアクション ITネットワークとOTネットワークの両方について、最新のネットワークトポロジーと関連情報を正確に文書化しておきます。このドキュメントは、定期的に見直し、更新、追跡を行い、正確性と関連性を確保します。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire |
| 防御(PR) |
セキュリティ対策 ハードウェアとソフトウェアの承認プロセス |
推奨されるアクション 新しいハードウェア、ファームウェア、ソフトウェア/新バージョンをインストールまたは展開する前に、承認を義務付ける管理ポリシーまたは自動化された手順を確立します。許可されたハードウェア、ファームウェア、およびソフトウェアの、リスク評価に基づいた許可リストを維持管理し、可能な限り承認されたバージョンを明記しておきます。OT資産の場合、これらのプロセスが定められた変更管理およびテスト活動と連動させることが極めて重要です。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire |
| 防御(PR) |
セキュリティ対策 インシデント対応(IR)計画 |
推奨されるアクション ITおよびOTのサイバーセキュリティインシデント対応計画を策定して、定期的に更新し、一般的および特定の脅威と手口の両方に合わせて調整する必要があります。少なくとも年に1回、可能な限り実際に近い形で実施される訓練は、得られた教訓に基づいて計画を更新できるよう活用します。 |
TXOne Networksの対応製品 ・EdgeOne |
| 防御(PR) |
セキュリティ対策 ログの収集 |
推奨されるアクション 侵入検知/侵入防止システム、ファイアウォール、データ損失防止システム、VPNの、アクセスとセキュリティに焦点を当てたログは、フォレンジック分析を含む、検知とインシデント対応の目的で収集し、保存しておきます。Windowsイベントログなどの重要なログソースが無効になっている場合は、セキュリティチームに直ちに警告する必要があります。 標準的ではない、または利用できないログを備えたOT資産の場合、これらの資産と他の資産との間のネットワークトラフィックと通信を監視し、記録します。 |
TXOne Networksの対応製品 ・Stellar |
| 防御(PR) |
セキュリティ対策 セキュアなログ保存 |
推奨されるアクション ログは、セキュリティ情報およびイベント管理ツール、または中央データベースなどの集中管理システムに保存し、権限のある認証済みユーザーのみがアクセスまたは変更できるようにします。ログは、リスクまたは関連する規制ガイドラインによって定められた期間、保存するものとします。 |
TXOne Networksの対応製品 ・Stellar |
| 防御(PR) |
セキュリティ対策 許可されていないデバイスの接続の禁止 |
推奨されるアクション ITおよびOT資産への権限のないメディアやハードウェアの接続を防止するためのポリシーと手順を実施します。これには、USBデバイスや取り外し可能なメディアの使用制限、および自動実行(AutoRun)機能の無効化が含まれます。 OT資産の場合、可能な場合、物理ポートを削除、無効化、または保護を行うことで、不正なデバイスの接続をブロックする措置を講じます。または、承認された例外措置を介してアクセスを許可する手順を確立しておきます。 |
TXOne Networksの対応製品 ・Stellar |
| 防御(PR) |
セキュリティ対策 インターネット上の悪用可能なサービスの利用禁止 |
推奨されるアクション 公衆インターネット経由でアクセス可能な資産は、リモートデスクトッププロトコルなどの悪用される可能性のあるサービスを提供してはなりません。そのようなサービスにアクセスする必要がある場合は、不正や悪用を防ぐための適切な対策を講じなければなりません。さらに、インターネットに接続されている資産では、不要なOSアプリケーションやネットワークプロトコルをすべて無効にしておきます。 |
TXOne Networksの対応製品 ・Stellar |
| 防御(PR) |
セキュリティ対策 OTの公衆インターネットに対する接続制限 |
推奨されるアクション OT資産は、運用上の目的で絶対に必要な場合を除き、公衆インターネットに接続すべきではありません。このルールに例外がある場合は、正確に正当事由を文書化し、これらの資産が悪用されるのを防ぎ、特定するための追加のセキュリティ対策を講じる必要があります。このような対策には、ログ記録、多要素認証(MFA)、プロキシや別の仲介デバイスを介した強制アクセスなどがあります。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire |
| 検知(DE) |
セキュリティ対策 関連する脅威とTTPの検知 |
推奨されるアクション 業界や分野など、特定の状況に関連する脅威とサイバー攻撃者の手口、技術、手順(TTP:Tactics,Techniques, Procedures)を文書化したリストを作成して、維持管理します。また、ルール設定、アラートシステム、または商用防止/検知システムなどの方法を用いて、これらの主要な脅威の発生を特定する能力を確保しておく必要があります。 |
TXOne Networksの対応製品 ・Stellar |
| 対応(RS) |
セキュリティ対策 インシデントレポート |
推奨されるアクション 確認されたサイバーセキュリティインシデントを報告するためのポリシーを策定し、州または連邦の規制機関や情報共有分析センター/組織(ISAC/ISAO)など、どの機関に通知するかを明確にしておきます。インシデントは、指定された期間内、または可能な限り速やかに報告しなければなりません。この報告プロトコルは、2022年の米国重要インフラストラクチャに対するサイバーインシデント報告法(CIRCIA)の実施後に、再評価される予定です。 |
TXOne Networksの対応製品 ・TXOne脅威インテリジェンス |
| 対応(RS) |
セキュリティ対策 脆弱性の開示/報告 |
推奨されるアクション セキュリティ調査者が、脆弱な、設定ミスのある、またはその他の方法で悪用可能な資産に関して、メールアドレスやWebフォームなどを介して組織のセキュリティチームに脆弱性を報告するための、公開された、かつ簡単に見つけられる方法を維持します。脆弱性の整合性と複雑性を考慮すると、迅速な承認と対応をもって、効果的な報告を行う必要があります。確認済みの悪用可能な脆弱性は、その深刻度に応じて軽減します。 |
TXOne Networksの対応製品 ・TXOne脅威インテリジェンス |
| 復旧(RC) |
セキュリティ対策 インシデント対応計画と備え |
推奨されるアクション サイバーセキュリティインシデントによって影響を受ける可能性のある、業務関連資産またはミッションクリティカルな資産を復旧・復元させるための計画を策定、維持、実行します。 |
TXOne Networksの対応製品 ・EdgeIPS/EdgeFire(ユーザビリティ強化版) |
| 注意:この表は、CISAのCPGについて説明していますが、すべてを網羅しているわけではありません。NIST CSF2.0と整合性を取り、リスクを低減することで知られ、分野を問わず広く適用できる主な対策を挙げていますが、国家、経済、公衆衛生のセキュリティに関するすべてのサイバーセキュリティ対策を網羅しているわけではありません。 | |||
まとめ
NIST CSF2.0は、OTセキュリティ管理者にとって非常に貴重なツールです。サイバーリスクを管理し、重要インフラの保護とレジリエンスを確保するための構造化された包括的なアプローチを示しています。CSF2.0を採り入れて効果的に実装することで、OTセキュリティ管理者は、サイバーセキュリティの状況を大幅に強化し、稼働環境を保護し、重要インフラのセキュリティと信頼性全体の向上に寄与することができます。TXOne Networksは、重要インフラ事業者やメーカーの皆様が、NIST CSF2.0の強化された要件を満たせるよう、お役に立てるガイダンスをいつでも提供いたします。TXOne NetworksのOTゼロトラスト防御アプローチは、エンドポイントとネットワーク全体で保護対策を強化し、あらゆるマシン、人員、データ、ワークフローに拡張できるという独特なメリットを活かし、サイバーレジリエンスを強化します。
現場の課題は常に変化しています。TXOneは、お客様とお客様のベンダー企業様が最適なOTサイバー防御策を見つけられるよう、いつでもお手伝いさせていただきます。TXOneのソリューションがお客様のシステムの安全性、コンプライアンス、運用性をどのように維持できるか、是非お問い合わせください。
