NIST サイバーセキュリティー・フレームワークとは

米国国立標準技術研究所 (NIST) は、測定科学、標準、テクノロジーの進歩を通じてイノベーションを促進する非規制機関です。

NIST CSFは、あらゆる業種・業務や組織内の既存のセキュリティー・プロセスと統合できる柔軟性を備えています。これは、米国内のほぼすべての民間部門の組織に情報セキュリティーとサイバーセキュリティー・リスク管理を実装するための優れた出発点を提供します。

2013年2月12日に、大統領令（EO）13636 ”Improving Critical Infrastructure Cybersecurity” （重要なインフラストラクチャのサイバーセキュリティー向上）が発令されました。これにより、NISTは米国民間企業と協力して、「既存の自主的合意基準とベスト・プラクティスを特定し、それらをサイバーセキュリティー・フレームワークに組み込む」取り組みを介しました。このコラボレーションの成果として、NISTサイバーセキュリティー・フレームワークのバージョン1.0が誕生しました。

2014年のサイバーセキュリティー強化法（CEA）により、サイバーセキュリティー・フレームワークの開発におけるNISTの取り組みが拡大しました。今日でも、NIST CSFは米国のすべての業種・業務で最も広く採用されているフレームワークの1つです。

NIST サイバーセキュリティー・フレームワークには、 機能、 カテゴリー、 サブカテゴリー、および 有益な参考資料が含まれています。

機能は、ベスト・プラクティスのセキュリティー・プロトコルの一般的な概要を示します。機能は手続き的なステップとして作られたものではありませんが、「動的なサイバーセキュリティー・リスクに対処する運用文化を形成するために、同時かつ継続的に」実施されるものです。カテゴリーとサブカテゴリーは、組織内の特定の部門またはプロセスに対するより具体的なアクション・プランを提供します。

NISTの機能とカテゴリーの例には、次のようなものがあります。

• 特定： サイバー攻撃を防ぐために、サイバーセキュリティー・チームは組織の最も重要な資産と参考情報を漏れなく把握する必要があります。「特定」の機能には、資産管理、事業環境、ガバナンス、リスク評価、リスク管理戦略、サプライチェーン・リスク管理などのカテゴリーが含まれます。
  
  
• 保護：保護の機能は、適切な安全策を開発、実装し、重要なインフラストラクチャーを保護するための技術的、 物理的なセキュリティー制御の大部分を対象としています。保護のカテゴリーには、ID管理とアクセス制御、意識向上とトレーニング、データ・セキュリティー、情報保護のプロセスと手順、メンテナンスと保護テクノロジーが含まれます。
• 検知：検知の機能により、組織はサイバー攻撃を警告する対策を実装できます。検知カテゴリーには、異常とイベント、セキュリティー、継続的な監視および検知プロセスが含まれます。
  
  
• 対応： 対応機能のカテゴリーは、サイバー攻撃などのサイバーセキュリティー・イベントに対する適切な対応を確実にするためのものです。対応機能のカテゴリーには、対応計画、連絡、分析、軽減、改善が含まれます。
  
  
• 回復：回復活動は、サイバー・レジリエンスの計画を実施し、サイバー攻撃、セキュリティー侵害などのサイバーセキュリティー・イベントが発生した場合の事業継続性の確保に役立ちます。回復機能には、回復計画の改善と連絡が含まれます。

NIST CSF有益な参考資料は、機能、カテゴリー、サブカテゴリー、および他のフレームワークの特定のセキュリティ管理との間に直接的な相関関係を引き出しています。これらのフレームワークには、次のものが含まれます。

1. The Center for Internet Security (CIS) Controls
2. コビット5
3. 国際オートメーション学会 62443-2-1:2009
4. ISA 62443-3-3:2013
5. 国際標準化組織および国際電気標準会議 27001:2013
6. NIST SP 800-53 リビジョン 4
   

NIST CSF は、物理デバイスとシステムをインベントリーする方法や、ソフトウェア プラットフォームとアプリケーションをインベントリーする方法については指示しません。完了すべきタスクのチェックリストを提供するだけです組織は、インベントリーの実行方法について独自の方法を選択できます。

組織がさらなるガイダンスを必要とする場合は、他の補完的な基準の関連する管理への有益な参照を参照することができます。CSFには、組織のサイバーセキュリティー・リスク管理のニーズに最適なツールを選択するための十分な自由があります。

民間部門の組織がNISTサイバーセキュリティー・フレームワークの実装に向けた進捗状況を測定できるようにするために、このフレームワークでは次の4つの実装層が特定されています。

• ティア 1 – 部分的： 組織はNIST CSFを熟知しており、インフラストラクチャの一部の領域に一部の管理手段を導入している場合があります。サイバーセキュリティーの活動とプロトコルの実装は、計画されたものより事後的に行われます。組織のサイバーセキュリティー・リスクに対する認知は限定されており、情報セキュリティを実現するためのプロセスやリソースが不足しています。
  
  
• ティア2 – リスクを把握している： 組織はサイバーセキュリティー・リスクをより認識しており、非公式に情報を共有しています。計画的で反復可能かつプロアクティブな組織全体のサイバーセキュリティー・リスク管理プロセスが欠如しています。
  
  
• ティア3 – 再現可能： 組織とその上級幹部はサイバーセキュリティー・リスクを認識しています。反復可能な全社的なサイバーセキュリティー・リスク管理計画を策定したのです。サイバーセキュリティー・チームは、サイバー攻撃を監視し、効果的に対応するための行動計画を作成しました。
  
  
• ティア4 – 適応： 組織はレジリセンスを備えており、学んだ教訓と予測指標を使用してサイバー攻撃を防いでいます。サイバーセキュリティー・チームは、組織のサイバーセキュリティーの技術と実践を継続的に改善・進歩させ、脅威の変化に迅速かつ効率的に適応します。リスクに基づいた意思決定、ポリシー、手順、プロセスを用いて、情報セキュリティー・リスク管理に対する組織全体のアプローチがあります。適応型組織は、サイバーセキュリティー・リスク管理を予算決定と組織文化に組み込みます。

NISTのサイバーセキュリティー・フレームワークは、情報セキュリティリスク管理プログラムの確立または改善方法に関するステップバイステップガイドを提供します。

1. 優先順位とスコープを決める： プロジェクトの範囲を明確にし、優先順位を特定する。高レベルでのビジネスまたはミッション目標、ビジネス・ニーズを確立し、組織のリスク許容度を判断します。
   
   
2. オリエンテーション： 組織の資産とシステムを評価し、適用される規制、リスクアプローチ、および組織に対する脅威を特定します。
   
   
3. 現在のプロファイルを作成する： 現在のプロファイルは、CSFのカテゴリとサブカテゴリによって定義されるように、組織がリスクをどのように管理しているかを示すスナップショットです。
   
   
4. リスク・アセスメントの実施： 運用環境、新たなリスク、サイバーセキュリティーの脅威情報を評価し、サイバーセキュリティー・イベントの可能性と重大度を判断します。
   
   
5. ターゲットプロファイルを作成する：ターゲット・プロファイルは、情報セキュリティ・チームのリスク管理目標を表します。
   
   
6. ギャップを特定、分析、優先順位を付ける： 現在のプロファイルとターゲットのプロファイルの間のギャップを特定することで、情報セキュリティー・チームは、これらのギャップを埋めるために必要な測定可能なマイルストーンと参考情報（人、予算、時間）を含むアクション・プランを作成できます。
   
   
7. 行動計画を実行する： ステップ6で定義したアクションプランを実施する。