企業は日々さまざまなサイバー攻撃に備えて防御力を高めるとともに、対策方法を常にアップデートしていかなくてはなりません。セキュリティリスクを少しでも下げるために活躍しているのが「NIST CSF」という考え方です。
今回は、NIST CSFはセキュリティについてどのような考え方なのか、さらに導入するメリットなどを含めた特徴を詳しく解説します。企業にとってNIST CSFというフレームワークを参照する重要性についても見てみましょう。
NIST CSFとは
NIST CSFとは、アメリカの国立標準研究所(NIST)が定めたサイバーセキュリティフレームワーク(CSF)のことで、セキュリティリスクへの対策を行うための国際的な考え方(フレームワーク)のことを指します。
世界ではもちろん、日本でも少しずつこの考え方を取り入れる企業が増えており、これからも纏わりつくサイバー攻撃から企業資産を守るための企貴重な指針となっています。また、NIST CSFの正式名称は「重要インフラのサイバーセキュリティ対策を改善されるためのフレームワーク」と言い、日本語に翻訳されたバージョンも公開されているため、すぐ参照しやすいのも特徴です。
これまでに登場していた別のセキュリティに関するフレームワークに比べて、企業が広く取り入れやすいこと、無償で公開されていることなどが評価されています。
NIST CSFの構成
NIST CSFは、コア・ティア・プロファイルという0次元の3つの要素で構成されています。
コア(Core)
コアとは、NIST CSFを構成する核となる部分で、次の章でご紹介する5つの機能に加え、さらに23のカテゴリーと、さらに細分化された108のサブカテゴリーで構成されています。ここにセキュリティ管理のための対策方法やどのように実施すれば良いかという手順など、企業が直接参考にするさまざまな情報が詰まっているのが特徴です。
ティア(Tier)
ティアとは、セキュリティ対策を行うにあたってどのようなことが実施されているのか、さらにNIST CSFの要件をどれくらい達成しているかがわかるよう、評価を行うための要素です。
「部分的にできている」「リスク情報を活用できている」「何度も繰り返し適用している」「プロセスが適応している」と評価基準が4段階でありますが、すべての要件についてティア4「プロセスが適応している」となる必要はありません。
これは、企業によって取り組むべき課題が異なっていることや、企業ごとの目標、さらに各企業が保有しているデータの規模や価値によっても違うからです。
プロファイル(Profile)
プロファイルは、セキュリティ対策における目標と現状との差を示すものです。目標に達成するために何が足りないのか、そのためにどのような取り組みをすれば良いかという計画を立てやすく、取り組むべき事柄の優先順位をつけられるなどのメリットがあります。
現状がどうなっているのかを分析することで、企業が設定したセキュリティ対策を達成する最短ルートを導き出すことができます。また、プロファイルには、前述のコアやティアとは違って特に「こうすべき」という決まりは基本的にありません。
NIST CSFにおける5つのコア機能
NIST CSFの核部分となる「コア」には、大きくわけて5つの機能があることをお伝えしました。
ここからは、その5つの機能についてそれぞれ詳しく解説します。NIST CSFで具体的なセキュリティ対策とその真髄となる機能について理解を深めましょう。
識別(Identify)
1つ目は、「識別(Identify)」という機能です。
識別(Identify)の機能の中には、さらに細分化されたカテゴリーがありますが、その中には「資産管理」をはじめ「ビジネス環境」「ガバナンス」「リスクアセスメント」「リスクマネジメント戦略」「サプライチェーンリスクマネジメント」の6つのカテゴリーが存在しています。セキュリティ対策を行うのはもちろんですが、企業として経営を続けていくためにどのような取り組みをしていけば良いのかという方法をまとめています。
防御(Protect)
2つ目は「防御(Protect)」です。
ここでは、「アイデンティティ管理とアクセス制御」をはじめ、「意識向上およびトレーニング」「データセキュリティ」「情報を保護するためのプロセスおよび手順」「保守」「保護技術」という6つのカテゴリーで構成されています。
セキュリティ対策を行うための防御力をどのように高めていくか、さまざまな手順をまとめている項目です。認証を制限したり、保守を行ったりと企業が行うべき多くの取り組みについて知ることができます。
検知(Detect)
3つ目は、「検知(Detect)」です。
これは「異常とイベント」をはじめ、「セキュリティの継続的なモニタリング」「検知Process」という3つの部類で構成されています。サイバー攻撃といった何らかの不正があった際にいち早く気づくことで、被害の拡大を防ぐことができます。
これと同じように、何らかの攻撃が仕掛けられる前に防ぐことができれば企業にとって大きなメリットになるため、いかに攻撃を検知できるかが重要なポイントであることがまとめられています。
対応(Respond)
4つ目は「対応(Respond)」です。
「対応計画の作成」をはじめ、「コミュニケーション」「分析」「低減」「改善」の5つの部類で構成されています。企業がさまざまな方法でセキュリティ対策を行っていく一方で、サイバー攻撃の方法も日々進化を遂げています。
そのため、お互いに新たな方法を作って対策していくという、鼬ごっことも呼べる状態です。そこで、サイバー攻撃を受けることを前提として、万が一被害を受けた際にどのように対応すべきか、迅速な対応力を発揮するための対応策についてまとめています。
復旧(Recover)
最後は「復旧(Recover)」です。
「復旧計画の作成」からはじまり、「改善」「コミュニケーション」の3つの部類で構成されています。万が一セキュリティ面でのトラブルが発生してしまった際には、企業として事業を続けるため、かつ顧客のためにも迅速に復旧をする必要があります。
そのため、攻撃を受けてしまったシステムの復旧方法をはじめ、社内のスタッフはもちろん社外の関係者への通知を含めたコミュニケーション面での手順・方法についてもまとめています。
まとめ
企業にとって、エンドポイントセキュリティ対策は非常に重要であることがわかりました。その中で取り入れられているのがNIST CSFで、細かなカテゴリーから自社がやるべき対策がわかりやすく、どの程度達成できているのか、現状を把握しやすいメリットがあります。
また、株式会社ピーエスシーでは、こうしたサイバー攻撃の検知や対処、対策を行うための、エンドポイントセキュリティプラットフォーム「Microsoft Defender for Endpoint」を提供しています。こうした便利なプラットフォームを活用し、セキュリティ対策を行いましょう。