NIST CSF とは 実践のための7ステップ
NIST CSF (Cybersecurity Framework) は、重要インフラシステム向けに作成されたフレームワークです。
セキュリティリスクを適切に管理するためのガイドラインおよび、現状を把握して理想的な状態へ改善していくための優先順位付けをサポートする共通言語として作成されたものです。
重要インフラシステム向けに作成されたものではありますが、それ以外の多くの企業でも利用され、NIST もあらゆる企業、組織でこのフレームワークの利用を推奨しています。
本記事では NIST CSF の全体像から実践するための方法まで解説していきます。
NIST CSF の構成要素
NIST CSF は以下の 3 つの要素で構成されています。
- フレームワークインプリメンテーションティア (ティア / Tier)
- フレームワークコア (コア / Core)
- フレームワークプロファイル (プロファイル / Profile)
この3つの要素に関して次に解説していきます。
ティア(Tier)
ティアでは組織のセキュリティリスク管理がどの程度実践できているかをティア 1 (部分的)からティア 4 (適応)で示すことができ、自組織の現状を把握することができます。
組織は事業の環境、ミッション、要求事項を考慮してどのティアを目指すべきかを選択し、現状のティアとの比較を行うことができます。
ティアは成熟度を表している訳ではなく、自組織がどの部分に優先的に取り組み、リソースを当てるのかを費用対効果を考え決定をサポートするためのものです。
ティア 2 の組織はティア 3 を目指すことが理想ではありますが、実現可能性や自組織の置かれている状況に合わせて判断する必要があります。
コア(Core)
コアは組織がセキュリティリスクを低減するための対策と参考情報のリストです。
コアは対策のチェックリストではなく、自組織が現状どこまでできているのか、どこを改善すべきなのかの判断を行うために活用することが推奨されています。
コアは「機能」「カテゴリー」「サブカテゴリー」「参考情報」の 4 つの要素で構成されています。
- 機能:「機能」は最上位の要素となっており、「識別」「防御」「検知」「対応」「復旧」に分類されるもの
- カテゴリー:「機能」を細分化したもの
- サブカテゴリー:「カテゴリー」を詳細化したもの
-
参考情報:「サブカテゴリー」に関連するガイドライン、プラクティスなどの参考情報
「識別」機能は、システム、人、資産、データ、機能の観点での管理状況を明らかにすることができます。
「識別」機能はフレームワークを効果的に利用するためにも基本となり、理解することで自組織がセキュリティリスク管理する上での優先順位付けができるようになります。
「防御」機能は、適切な対策をするための概要を提供しています。
たとえば、「PR.IP-12: 脆弱性管理計画が、作成され、実装されている。」などが定義されています。
「検知」機能は、セキュリティイベントの発生を識別する適切な対策を提供しています。
たとえば、「DE.CM-8: 脆弱性スキャンが、実施されている。」などが定義されています。
「対応」機能は、検知したセキュリティインシデントへの適切な対策を提供しています。
「RS.MI-3: 新たに識別された脆弱性は、許容できるリスクである場合にはその旨を文書化され、そうでない場合にはリスクが緩和されている。」などが定義されています。
「復旧」機能は、復旧計画や手順を立て、継続的に更新することが定義されています。
「RC.CO-3: 復旧活動は、内外の利害関係者だけでなく役員と経営陣にも周知されている。」では役員や経営陣などの幅広い関係者との調整することも定義されています。
プロファイル(Profile)
プロファイルでは自組織のビジネス環境、ミッション、要求事項から現在のプロファイル、理想となるプロファイルを作成し、ギャップ分析することで優先順位付けされた改善計画を立てることができます。
プロファイルの雛形はありませんが、一つの方法としてはコアのサブカテゴリーに関して現状と理想のギャップを洗い出し、費用対効果や優先順位を決めていくことができます。
作成したプロファイルを元にセキュリティリスクを下げるためのロードマップを作成することができます。
コアの具体的な対策の検討方法
コアのサブカテゴリーでは「ID.RA-5: 脅威、脆弱性、発生可能性、影響が、リスクを判断する際に使用されている。」「PR.IP-2: システムを管理するためのシステム開発ライフサイクルが、実装されている。」という粒度で書かれているため実際にどう対策すべきかまでは定義されていません。
対策を検討する際にはサブカテゴリーに対応する参考情報を使って検討することができます。
上記の例では、NIST SP 800-53 Rev. 4 RA-2, RA-3, PM-16やCIS CSC 18 などが参考情報として明記されていますのでそこからより具体的な対策方法の検討を行うことができます。
たとえば、CIS CSC 18 では「アプリケーションソフトウェアセキュリティ」という項目でアプリケーションのロジック部分の脆弱性と OSS などの社外調達したソフトウェアを含めたセキュリティライフサイクルのより具体的なガイドラインが提供されています。
これらのガイドラインを参考にサブカテゴリーを達成するための自組織における対策方法を決める必要があります。
NIST CSF を実践するための7ステップ
NIST CSF は汎用的に書かれたフレームワークのため実践するのが難しく感じられることもあります。
ここでは、Organization of American States (OAS) が Amazon Web Services とともに公開したホワイトペーパーを参考に実践するための 7 つのステップを紹介したいと思います。
Step1. 優先順位付けとスコープの特定
まずはじめに自組織における事業の環境、要求事項を元に優先順位付けを行います。
この優先順位付けの結果から今回のフレームワークの対象範囲 (事業やプロセス) を決定します。
Step 2. 対象システムと資産の特定
今回の対象範囲、加えて法的な要件や規制などを含めて対象となるシステムや資産を特定します。
Step 3. 現在のプロファイルの作成
フレームワークコアを利用してどのカテゴリー、サブカテゴリーが達成できているかを確認し、自組織の現在のプロファイルを作成します。
この時に、人 (セキュリティ担当者の数、役割、スキル)、プロセス (ポリシー、手順、自動化できているか、利害関係者とのコミュニケーション)、技術面 (システム構成、脆弱性への対応、サポート契約)を含めて作成することが大切です。
Step 4. リスクの評価
現在の運用環境を分析し、セキュリティイベントの可能性とそれに伴う影響を評価します。
対象となるシステム、資産への脅威を洗い出し、新たなリスクの可能性と影響を理解することが大切です。
また、評価した結果をフィードバックすることも重要になります。
Step 5. 目指すプロファイルの作成
フレームワークコアを利用して目指すプロファイルを作成します。
その際に、ビジネス要件だけでなく、顧客やビジネスパートナーなどの利害関係者からの要件も踏まえた上で、独自のカテゴリーの作成をすることもできます。
要件は技術面だけでなく、人やプロセスに関しても考慮する必要があります。
Step 6. ギャップ分析の実施
現在のプロファイルと目指すプロファイルのギャップ分析を行います。
分析結果からわかったギャップを埋めるための優先順位付けしたアクションプランを作成します。
次に、実施するために必要な資金や人材を含むギャップに対処するリソースを決定します。
Step 7. アクションプランの実施
ギャップ分析で作成したアクションプランを実施します。
ここでのアクションには人 (人材の採用、教育)、技術面 (利用可能な商用サービス)、プロセス (ポリシー、プロセス、手順)などを含んでいることを認識して進めることが大切です。
さいごに
NIST CSF は、活用することで共通の言語を用いて現状と理想のギャップを分析し、セキュリティリスクの管理を行うことができます。
このフレームワークは柔軟性があるため自組織に合わせてカスタマイズして使うことが想定されています。
事業が置かれている環境やミッションに合わせて目標とするティアを設定し、効果的な対策を行うことができます。
また、ガートナーによる調査では 2015 年時点で米国の 30% の企業が NIST CSF を利用し、2020 年には 50% になると予想しています。
参照:Cybersecurity Framework
最近では、セキュリティだけではなくプライバシーも考慮した NIST Privacy Framework も公開されるなどまだまだ利用が促進されるように思われます。
セキュリティリスクを適切に管理するためにも、NIST CSF の活用をぜひご検討ください。
最後になりますが、yamory では利用しているライブラリの管理、脆弱性の特定、対応方法の共有を行うことができます。
yamory を用いることでフレームワークコアの「識別」「検知」「対応」の一部をサポートすることができますので、ぜひ一度お試しいただければ幸いです。