• 会員限定
  • 2015/02/25 掲載

米ホワイトハウス公開のセキュリティフレームワーク「CSF」とは?企業活用のポイント

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
会員になると、いいね!でマイページに保存できます。
IT環境の普及に伴って、サイバー犯罪が多発するとともに、その手口が高度化している。そのため、被害額も年々増加傾向にある。このような状況に対応するためには、組織としての対策レベルの底上げが重要となる。米国ではこうした状況をうけ、商務省の国立標準技術研究所(以下、NIST)より、サイバーセキュリティ・フレームワークが公開され、政府主導で重要インフラ分野の対策レベルの底上げを図ろうとしている。本稿では、サイバー攻撃の手口の高度化に伴うセキュリティ対策の再考として、このフレームワークの効果的な使い方を概説する。なお、本稿において意見に関する部分は私見であり、所属する法人の公式見解ではないことをあらかじめお断りしておく。

日米のサイバーセキュリティ対策の動向

photo
(Photo:© blvdone - Fotolia.com)
 2014年2月12日、米ホワイトハウスは重要インフラのサイバーセキュリティ対策の強化を目的としたガイドラインである「Framework for Improving Critical Infrastructure Cybersecurity Version 1.0(以下、CSF)」を公開した。

 経緯としては、2013年2月12日の大統領令13636号が発布され、この行政命令を受けたNISTが中心となり、官民の意見をまとめて策定されたのがCSFである。

 日本のサイバーセキュリティ対策状況を見ると、2014年11月に「サイバーセキュリティ基本法」が成立し、サイバーセキュリティ対策は国の責務であることを明確にした。ただ、ここでは具体的なガイドラインについて策定されておらず、各行政機関や事業者などの自主的な取り組みに委ねているのが現状であり、今後の内閣官房のサイバーセキュリティ戦略本部の動向に注目が集まる。

CSFの目的は組織のセキュリティ対策レベルの底上げを図ること

 CSFは、組織のサイバーセキュリティリスクに対しての現状とあるべき姿として掲げた目標とのギャップ分析を実施し、必要となる対策の検討および組織としての対策レベルの底上げを図ることを目的としたガイドラインだ。

 具体的な管理策の詳細については、既存の標準規格やベストプラクティスを参照しているものの、サイバーセキュリティ対策を講じる上で必要な「攻撃の検知から対処・復旧までを範囲とする」ことや「組織内外での連携(サプライチェーン)」といった点に踏み込んでフレームワーク化している点が、これまでのセキュリティ基準などとは異なる。

 CSFは3つの要素で構成されている。

1.Framework Core(フレームワークコア)

 コアは、サイバーセキュリティ対策を実施する上で、必要と考えられる管理策を取りまとめたものであり、「特定(IDENTIFY)」、「防御(PROTECT)」、「検知(DETECT))、「対応(RESPOND)」、「復旧(RECOVER)」の5つの機能に分類されている。

 各機能に対して22個のカテゴリーが存在し、さらに管理面での詳細管理策として98個のサブカテゴリーが定義されている。このサブカテゴリーには、管理策の内容を詳細に説明するリファレンスとして、複数の標準規格やベストプラクティスがマッピングされている。

 たとえば図1に示すように、機能の1つである「防御」では、カテゴリーの中に「アクセス制御」があり、さらに詳細な管理策として「承認されたデバイスとユーザーの識別情報と認証情報を管理している」がサブカテゴリーとして構成されている。

画像
図1 フレームワークコアの構成例

 そして最後に具体的な方法や対策を検討する際の情報として、リファレンスが存在する。ここで改めて構成を眺めてみると、実はCSFは、サイバーセキュリティ対策のために管理策などが新設された訳ではなく、あくまでも既存の情報セキュリティ管理策をサイバーセキュリティの観点で再構成されたものであることがわかる。

2.Framework Implementation Tiers(フレームワークインプレメンテーションティア)

 ティアは、組織の現在のサイバーセキュリティ対策への現状を表すとともに、今後組織として目指すべきゴールを設定するための成熟度評価基準のようなものである。

 ティアは、「1~4」で段階的に表され、リスク管理プロセスの整備状況および外部組織との連携といった観点について、組織の現在のレベルや目指すべきレベルを段階的に把握することができる。

3.Framework Profile(フレームワークプロファイル)

 プロファイルは、コアを基に作成された組織のサイバーセキュリティ対策の現状と、目指すべきサイバーセキュリティ対策の目標をまとめたものである。

 現状と目標のプロファイルのギャップを明らかにし、その結果を基に、サイバーセキュリティリスクへの耐性や対策の実現可否を検討し、着手すべき管理策の優先付けや予算の確保、調達要件などの立案を可能とする。プロファイルについては、テンプレートやリストは用意されていない。

【次ページ】CSFの使い方と流れ
関連タグ タグをフォローすると最新情報が表示されます
あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます