NIST CSFについて知る

国家の重要インフラにサイバー空間を 加えることが全会一致で決まったのは、 2013 年にソウルで開かれた 『第３回サイバー空間に関する国際会議』 でした。 この会議でまとめられた 『オープンで安全な サイバー空間のためのソウル枠組み』には、 次のように記されています。 「グローバルでオープンな インターネットの性質は、 発展への歩みを後押しする力である。 サイバー空間を保有、使用する各国の政府、 企業、団体、個人は、 自らの情報テクノロジーのセキュリティに 責任を負うとともに、 その強化に向けた対策を 取らなければならない」。 米国の国立標準技術研究所は これを受けて、 2014 年に『重要インフラの サイバーセキュリティを改善するための フレームワーク』を策定しました。 NIST CSF と略称される このフレームワークは、 現在サイバーセキュリティの事実上の 標準となっています。 具体的な内容を見てみましょう。 NIST CSF は、 「フレームワークコア」、 「フレームワークプロファイル」、 「フレームワーク導入ティア」という ３つの要素からなる、 行動本位のアプローチです。 フレームワークコアでは、 サイバーセキュリティを 高めるための活動を、 識別、防御、検知、対応、復旧という ５つの領域ごとに詳しく挙げています。 これら５つの領域は 複数のカテゴリーに分類され、 全部で 23 のカテゴリーがあります。 例えば、検知の領域を見ると、 異常とイベント、セキュリティの 継続的なモニタリング、検知プロセス、 という３つのカテゴリーに 分けられていることがわかります。 それぞれのカテゴリーはさらに、 複数のサブカテゴリーに分かれています。 例えば、検知プロセスのカテゴリーには、 検知に関する役割と責任、 該当するすべての要求事項への コンプライアンス、 検知プロセスのテスト、検知情報の周知、 継続的改善、という ５つのサブカテゴリーがあります。 NIST CSF は、 それ自体がサイバーセキュリティの 管理体制を定めるものではなく、 時代に応じた管理体制を構築するために 参照すべき高次のフレームワークです。 実際の管理プロセスにおいては、 COBIT、ISA、ISO 27001、 NIST SP 800-53 といった、 従来の管理フレームワークも 引き続き使用します。