こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティの日です。
先週は、CSFについて、調べているうちに、OMB文書、FIPS、そしてSPシリーズに目が留まり、同文書の概要について調べ報告をしました。
今週は、本題のCSFについて調べ報告したいと思います。
現在、CSF文書について調査中なのですが、当初の想像と違いました。それは、参考書的な位置づけで記述されているということです。IPAから提供されている資料には中核的な位置づけで書かれているような気がしたのですが・・・・?
まっ、読み手によりその受け取り方はまちまちだと思うので、以上は私の文章の捉え方だと思ってください。
[CSFの概要]
IPAから提供されている資料には、CSFコアの5つの機能に関する部分を中心に書かれていましたが、実は3つの要素により構成されています。
以下は、NISTの翻訳本に書かれている内容を、ChatGPTに簡潔にまとめてもらったものです。
@CSFコア(Core)
セキュリティ活動を整理し、共通の言語を提供するものです。
5つの機能と23のカテゴリ、さらに細分化された108のサブカテゴリで構成されています。
・5つの機能:識別 (Identify)、防御 (Protect)、検知 (Detect)、対応 (Respond)、復旧 (Recover)。
・カテゴリ:具体的なセキュリティ目標や管理分野(例: アクセスマネジメント、データ保護など)。
・サブカテゴリ:具体的な実施事項(例: リスクを特定し文書化する)。
A CSF組織プロファイル(Profile)
・各組織が現在のセキュリティ状況(Current Profile)と目標状況(Target Profile)を定義し、差異を明らかにするためのツール。
・プロファイルを活用することで、組織固有の目標に合ったセキュリティ対策をカスタマイズできます。
B CSFティア(Tiers)
セキュリティリスク管理の成熟度を評価する基準。4段階のティア(Tier 1〜4)で構成されます。
・Tier 1: 部分的(Partial)
・Tier 2: リスク重視(Risk Informed)
・Tier 3: 確立された(Repeatable)
・Tier 4: 適応的(Adaptive)
ティアは必須基準ではなく、各組織が自らの状況を理解し改善するための指針です。
[CSFコアの5つの構成要素は実は6つ]
以前のブログには、CSFの5つの構成要素として、以下の内容で記述しています。IPAから提供された資料と若干違っているのですが、単語の意味の捉え方により多少は違うと思われるので、そのまま利用させていただいています。
1)Identify (特定):
資産、リスク、脆弱性、法的義務などを特定し、組織のセキュリティ基盤を構築。
例: 資産管理、リスク管理戦略。
2)Protect (保護):
システムやデータを保護するための対策を実装。
例: アクセス制御、データセキュリティ、トレーニング。
3)Detect (検知):
サイバーセキュリティイベントを迅速に検知。
例: 異常検知、継続的監視。
4)Respond (対応):
サイバーセキュリティイベントに対する適切な対応を計画・実行。
例: インシデント対応計画、コミュニケーション。
5)Recover (復旧):
インシデント後の回復力を強化し、通常業務に戻る。
例: 復旧計画、改善活動。
IPAの資料では、以上の項目を以下の内容で記述しています。
1)Identify (特定): → 識別
2)Protect (保護): → 防御
3)Detect (検知): → 検知
4)Respond (対応): → 対応
5)Recover (復旧): → 復旧
解説もほぼ同じですし、言葉がちょっと違うといった所でしょうか?
[CSF2.0]
以上の5つの機能と言われていたのは、2018年4月16日にリリースされたCSF1.1の内容です。現在は、2024年2月26日に更新された、CSF2.0が使用されています。その内容は以下の通りです。
❶統治(Govern)
・目的: サイバーセキュリティリスク管理の全体的な方針と方向性を確立し、それを継続的に維持する。
・概要:
┣経営層やリーダーシップが、リスク管理の責任を担い、戦略やポリシーを明確にします。
┣組織全体でリスクに対する共通の理解を形成し、リソースを適切に割り当てる。
┗サイバーセキュリティ文化の醸成を支援し、規制遵守と業務目標を両立させる。
❷識別(Identify)
・目的: サイバーセキュリティリスクを把握し、管理するための基盤を構築する。
・概要:
┣組織が持つ資産、データ、システム、および関連するリスクを特定。
┣ビジネス目標とリスク管理の連携を図る。
┗サプライチェーンや外部依存関係のリスクも識別。
❸防御(Protect)
・目的: 脅威を防ぎ、システムやデータの安全性を維持する。
・概要:
┣不正アクセスや攻撃に対する予防的な制御を確立。
┗データ暗号化、アクセス制御、教育・訓練を通じて、リスク軽減策を実施。
❹検知(Detect)
・目的: サイバーセキュリティイベントや脅威を迅速に特定する。
・概要:
┣不審な活動やインシデントを監視する仕組みを整備。
┣通知・アラートのプロセスを構築し、早期発見を目指す。
┗継続的な監視とログ分析の導入。
❺対応(Respond)
・目的: サイバーセキュリティインシデントの影響を最小限に抑える。
・概要:
┣インシデント発生時に適切な対応手順を実施。
┣影響の評価、被害の封じ込め、ステークホルダーとの情報共有を行う。
┗対応プロセスを見直し、改善を図る。
❻復旧(Recover)
・目的: サイバーセキュリティインシデントから迅速に回復し、業務を継続する。
・概要:
┣インシデントの影響を最小限にし、業務プロセスを再構築。
┣回復計画の実行、学習、プロセス改善を行う。
┗経営層への報告とステークホルダーへの信頼回復。
CSF1.1までは、セキュリティ対策が中心に書かれていましたが、2.0になると、対策を実現するための体制などにも触れている点が注目されます。
加えて、サイバーセキュリティの責任の所在が経営者にあることが明確にされたという点は、注目すべきでしょう!
日本では、サイバーセキュリティ経営ガイドライン重要3項目の一番最初に出てきています。
[CSFの適応]
CSFの適応なのですが、業務ごとの適応ではなく、インシデント毎になります。例えば、ランサムウェア対策といった内容です。
従って、予め、どんなインシデントがあるのか想定し、想定したインシデントごとにCSFコアを策定していきます。その策定内容は、BCP(Business Continuity Plan)と似ています。
[あとがき]
IPAから提供されている資料には、CSFを土台にCPSFを作ったという記述があったのですが、CPSFの方がより具体的な内容が書かれているように感じました。但し、先週ご紹介した、FIPS、SPシリーズなどを補足資料として使用することを考えると、IPAから提供されている文書の通りなのかもしれません。
来週も、CSFに関する調査を進め、可能ならば、FIPS、SPシリーズまで踏み込んで調べたいと思います。
では、また!!!
