世界的に採用が広がる「NISTサイバーセキュリティフレームワーク」

今日、日本企業が情報セキュリティ対策のポリシーや体制などを構築する際には、ISMS(情報セキュリティマネジメントシステム)のフレームワークが参照されることが多いようです。事実日本国内においては、ISMSの認証を取得しているかどうかが、その企業の情報セキュリティ対策の成熟度を測る際の指針として広く用いられています。

しかし海外に目を転じてみると、少し事情は異なってきます。もちろん、ISMSも世界標準のセキュリティ管理フレームワークとして広く普及していますが、こと企業のITシステムのセキュリティ対策という点においては、近年では「NISTサイバーセキュリティフレームワーク」が広く用いられるようになっています。

これは米国国立標準研究所(NIST)が2014年に発行した「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」のことを指しており、通称「サイバーセキュリティフレームワーク」「CSF(Cyber Security Framework)」などとも呼ばれています。2014年2月にバージョン1.0が公開され、2018年4月にはその改訂版であるバージョン1.1が公開されたばかりです。

実は海外では、ISMSに代わってこのCSF(サイバーセキュリティフレームワーク)を採用する企業が急増しており、近い将来にはセキュリティフレームワークのデファクトスタンダードになるのではないかと目されています。

世界的に見ると例外的にISMSの普及率が高い日本においても、このような国際的な情勢を鑑みてCSF(サイバーセキュリティフレームワーク)に着目する企業や組織が増えてきています。

CSF(サイバーセキュリティフレームワーク)が注目を浴びる背景には、幾つかの理由があります。ISMSがITシステムに限らず、物理世界やソーシャルエンジニアリングなども含めた多面的なリスクについて広く言及しているのに対して、CSF(サイバーセキュリティフレームワーク)はITの世界のセキュリティリスクに比較的特化しているので、情報セキュリティの担当者にとってより実践的な内容だといえます。

またリスクマネジメントの観点から情報セキュリティを論じており、企業の経営者が経営リスクの1つとして情報セキュリティに対処する上でも優れた指針となります。

さらに、ISMSがセキュリティ侵害の予防に主眼を置いているのに対して、CSF(サイバーセキュリティフレームワーク)は侵害を受けた際の検知や事後対応といった点にまで踏み込んでいます。近年のサイバー攻撃の手口は極めて高度化・巧妙化しており、その侵入を100%防ぐのは事実上不可能だと言われています。

そのため、侵入されたことを前提とした検知や事後対策の重要性が叫ばれており、こうした点においてもCSF(サイバーセキュリティフレームワーク)は近年のセキュリティ事情をよりタイムリーにとらえていると言えるでしょう。

98のサブカテゴリ中39をサイバーリーズン製品でカバー

CSF(サイバーセキュリティフレームワーク)の内容は実に多岐に渡っており、さまざまなトピックごとに業界標準やベストプラクティスが示されています。これら個々の項目は「フレームコア」という単位でまとめられており、大項目にあたる「機能」、中項目にあたる「カテゴリ」、そして小項目に該当する「サブカテゴリ」という3階層の構造で整理されています。

機能は「特定(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つに分かれており、それぞれの中にカテゴリが設けられています。カテゴリは全部で22あり、さらに各カテゴリは複数のサブカテゴリによって構成されています。

サブカテゴリは全部で98あり、それぞれにおいてベストプラクティスが示されているほか、ISMSをはじめとする他のセキュリティフレームワークとの対応も示されています。これら98のサブカテゴリ一つひとつにつき、自社における優先度や対応度合いなどを評価することによって、企業は包括的な情報セキュリティ対策を進めることができます。

なおサイバーリーズンではこのほど、これら98のサブカテゴリのうち、自社製品がどれをカバーしているのかについて、CSF(サイバーセキュリティフレームワーク)の内容と製品の機能を注意深く比較しながら調査を行いました。その結果、Cybereasonプラットフォームの機能を導入した組織では、98のサブカテゴリのうち39をカバーできることが分かりました。

サイバーリーズンの製品は、EDR機能によるセキュリティ脅威の検知や事後対応にもともと定評があるほか、次世代アンチウイルス機能による防御の機能も備えています。これらを組み合わせることで、「特定」「防御」「検知」「対応」の4機能にまたがる39のサブカテゴリを全面的に、あるいは部分的に対応できることが弊社の分析の結果明らかになっています。

サイバーリーズン製品は、特にCSF(サイバーセキュリティフレームワーク)を意識して開発されたわけではありませんが、結果的にこれだけ広い範囲をカバーしていることから、近年における情報セキュリティ対策のニーズに的確に応えられていることが分かります。

なお、CSF(サイバーセキュリティフレームワーク)とサイバーリーズン製品との間の関連性については、別途「NISTサイバーセキュリティフレームワークに対応するCybereasonの機能について」というホワイトペーパーで詳しく紹介されています。興味のある方は、ぜひ一度目を通してみてはいかがでしょうか。