NISTサイバーセキュリティー・フレームワークとは

米国国立標準技術研究所（NIST）は、測定科学、標準、技術を推進することでイノベーションを促進する非規制機関です。 NISTサイバーセキュリティー・フレームワーク（NIST CSF）は、組織がサイバーセキュリティー・リスクの管理を改善するための基準、ガイドライン、およびベスト・プラクティスで構成されています。 

NIST CSFは、あらゆる業界のあらゆる組織において、既存のセキュリティー・プロセスと統合できるように柔軟に設計されています。 この本は、米国の事実上あらゆる民間企業において、情報セキュリティーおよびサイバーセキュリティー・リスク 管理を導入するための優れた出発点となります。

2013年2月12日、「重要インフラのサイバーセキュリティーの向上に関する大統領令（EO）13636」が発令されました。 これにより、「既存の自主的なコンセンサス基準や業界のベスト・プラクティスを特定して、それらをサイバーセキュリティー・フレームワークに組み込む」というNISTの米国民間企業との共同作業が始まりました。このコラボレーションの結果、NIST Cybersecurity Framework Version 1.0が完成しました。

2014年のサイバーセキュリティー強化法（CEA）は、サイバーセキュリティー・フレームワークの開発におけるNISTの取り組みを拡大しました。 現在、NIST CSFは、米国のすべての産業分野で最も広く採用されているセキュリティー・フレームワークの1つです。

NISTサイバーセキュリティー・フレームワークには、機能、カテゴリー、サブカテゴリー、および参考文献が含まれています。 

機能は、ベスト・プラクティスのセキュリティー・プロトコルの一般的な概要を示します。 機能は、手続き的なステップを意図したものではなく、「ダイナミックなサイバーセキュリティー・リスクに対応する運用文化を形成するために、同時かつ継続的に」実行されるべきものです。 カテゴリーとサブカテゴリーは、組織内の特定の部門やプロセスに対して、より具体的なアクション・プランを提供します。 

NISTの機能とカテゴリーの例は以下の通りです。

• 識別： サイバー攻撃から守るために、サイバーセキュリティー・チームは、組織の最も重要な資産やリソースは何かを徹底的に理解する必要があります。 識別機能には、資産管理、ビジネス環境、ガバナンス、リスク・アセスメント、リスク管理戦略、サプライチェーン・リスク管理などのカテゴリーが含まれます。
  
  
• 防御：防御機能は、適切な保護対策を開発、実装し、 重要なインフラストラクチャーを防御するための技術的・物理的セキュリティー制御の大部分をカバーします。 これらのカテゴリーには、ID管理とアクセス制御、意識向上とトレーニング、データ・セキュリティー、情報保護プロセスと手順、保守、保護技術があります。
  
  
• 検知：検知機能は、サイバー攻撃に対して組織に警告する対策を実装します。 検知のカテゴリーには、異常とイベント、セキュリティーの継続的な監視、検知プロセスなどがあります。
  
  
• 対応：対応機能のカテゴリーでは、サイバー攻撃やその他のサイバーセキュリティー・イベントに対して適切な応答を確実に行えるようにします。 具体的なカテゴリーとしては、対応計画の作成、コミュニケーション、分析、低減、改善があります。
  
  
• 復旧： 復旧活動では、サイバー・レジリエンス計画を実装し、サイバー攻撃、セキュリティー侵害、または他のサイバーセキュリティー・イベントが発生した場合に事業継続を確保します。 復旧機能は、復旧計画の改善およびコミュニケーションです。

NIST CSFの参考文献には、他のフレームワークの機能、カテゴリー、サブカテゴリー、および特定のセキュリティー対策との間に直接的な相関関係が示されています。 これらのフレームワークには、Center for Internet Security (CIS) Controls®、COBIT 5、International Society of Automation (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、International Organization for Standardization and the International Electrotechnical Commission 27001:2013、およびNIST SP 800-53 Rev. 4があります。

NIST CSFは、物理的なデバイスやシステムのインベントリーの方法や、ソフトウェア・プラットフォームやアプリケーションのインベントリーの方法については述べておらず、単に完了すべきタスクのチェックリストを提供しているだけです。 インベントリーを行う方法は、組織が独自に選択することができます。 組織がさらなるガイダンスを必要とする場合は、他の補完的な標準における関連統制の参考文献を参照することができます。 CSFには、組織のサイバーセキュリティー・リスク管理のニーズに最も適したツールを選択する自由があります。

民間企業がNISTサイバーセキュリティー・フレームワークの実施に向けた進捗状況を測定するために、フレームワークでは4つの実施段階を定めています。

• 段階1 部分的： 組織がNIST CSFに精通しており、インフラストラクチャーの一部の領域において、一部の側面において管理を実施している可能性があります。 サイバーセキュリティーの活動 やプロトコルの実施は、計画的ではなく反応的でした。 組織は、サイバーセキュリティーのリスクに対する認識が低く、情報セキュリティーを実現するためのプロセスやリソースが不足しています。
  
  
• 段階2 リスクが周知されている：組織がサイバーセキュリティーのリスクをより認識し、非公式に情報を共有しています。 そこには計画済みで反復可能かつ事前対応的な組織全体のサイバーセキュリティー ・ リスク 管理 プロセスが欠けています。
  
  
• 段階3 繰り返し可能：組織とその上級幹部は、サイバーセキュリティーのリスクを認識しています。 繰り返し可能な組織全体のサイバーセキュリティ・リスク 管理計画を実施しています。 サイバーセキュリティー・チームは、サイバー攻撃を監視し、効果的に対応するためのアクション・プランを作成済みです。
  
  
• 段階4 適応：この段階では、サイバー・レジリエントな組織となり、学んだ教訓や予測指標を活用してサイバー攻撃を防いでいます。 サイバーセキュリティー・チームは、組織のサイバーセキュリティ技術と実践を継続的に改善、進歩させ、脅威の変化に迅速かつ効率的に対応します。 リスクに基づいた意思決定、ポリシー、手順、およびプロセスを伴う情報セキュリティー・ リスク管理に対する組織全体のアプローチがあります。 適応力のある組織は、予算の決定や組織文化にサイバーセキュリティーのリスク 管理を組み込んでいます。

NISTサイバーセキュリティー・フレームワークは、情報セキュリティーのリスク管理プログラムを確立または改善する方法について、ステップバイステップのガイドを提供しています。

1. 優先順位付けとスコープ：  プロジェクトの範囲を明確に把握し、優先順位を明確にする ハイレベルなビジネスまたはミッションの目的、ビジネス・ニーズを確立し、組織のリスク許容度を決定します。
   
   
2. オリエント：組織の資産とシステムを把握し、適用される規制、リスク・アプローチ、組織がさらされる可能性のある脅威を特定します。
   
   
3. 現在のプロファイルの作成：現在のプロファイル とは、CSFのカテゴリーとサブカテゴリーで定義されているように、組織が現在どのようにリスクを管理しているかのスナップショットです。
   
   
4. リスク・アセスメントの実施：運用環境、新たなリスク、サイバーセキュリティーの脅威情報を評価し、組織に影響を与えるサイバーセキュリティー・イベントの発生確率と重大度を判断します。
   
   
5. ターゲット・プロファイルの作成：ターゲット・プロファイルは、情報セキュリティー・チームのリスク管理目標を表します。
   
   
6. ギャップの特定、分析、および優先順位づけ：現在のプロファイルと目標プロファイルの間のギャップを特定することにより、情報セキュリティー・チームは、測定可能なマイルストーンと、これらのギャップを埋めるために必要なリソース（人、予算、時間）を含むアクション・プランを作成することができます。
   
   
7. アクション・プランの実行：ステップ6で設定したアクション・プランを実行します。