NISTサイバーセキュリティフレームワーク

NIST Cyber​​security Frameworkは、米国の民間組織がサイバー攻撃を防止、検出、および対応する能力を評価および改善する方法に関するコンピューターセキュリティガイダンスのポリシーフレームワークを提供します。このフレームワークは多くの言語に翻訳されており、とりわけ日本およびイスラエル政府によって使用されています。 「サイバーセキュリティの結果の高レベルの分類と、それらの結果を評価および管理する方法論を提供します。」バージョン1.0は、2014年に米国国立標準技術研究所によって発行され、当初は重要なインフラストラクチャの運用者を対象としていました。さまざまな企業や組織で使用されており、リスク管理について組織が積極的に対応できるよう支援しています。 2017年、フレームワークのドラフトバージョンであるバージョン1.1がパブリックコメントのために配布されました。バージョン1.1が発表され、2018年4月16日に公開されました。バージョン1.1は引き続きバージョン1.0と互換性があります。変更には、自己評価の実行方法に関するガイダンス、サプライチェーンのリスク管理に関する追加詳細、およびサプライチェーンの利害関係者との対話方法に関するガイダンスが含まれます。

セキュリティフレームワークの導入研究では、調査対象組織の70％がNISTのフレームワークをコンピュータセキュリティの一般的なベストプラクティスと見なしているが、多くの人が多大な投資を必要とすることを報告しています。

プライバシーと市民の自由のための関連する保護に関するガイダンスが含まれています。

2017年、NISTは2014フレームワークを活用したNIST Baldrige Cyber​​ Security Excellence Builderを公開しました。より簡単な自己評価が含まれています。質問は6つの領域と結果セクションに分かれています。

• リーダーシップ
• 戦略
• お客さま
• 測定、分析、知識管理
• 労働力
• 操作、および
• 結果。

概要

NISTサイバーセキュリティフレームワークは、個々の企業や他の組織が直面するリスクを評価するために使用できるように設計されています。

フレームワークは、「コア」、「プロファイル」、および「階層」の3つの部分に分かれています。 「フレームワークコア」には、サイバーセキュリティの側面とアプローチに関する一連のアクティビティ、結果、参照が含まれています。 「フレームワーク実装階層」は、組織とそのパートナーのために、サイバーセキュリティリスクとその管理アプローチの高度さをどのように見ているかを明確にするために組織によって使用されます。 「フレームワークプロファイル」は、ニーズとリスク評価に基づいて、組織がカテゴリとサブカテゴリから選択した結果のリストです。

組織は通常、フレームワークを使用して、サイバーセキュリティ活動とその成果を説明する「現在のプロファイル」を作成することから始めます。次に、「ターゲットプロファイル」を作成するか、そのセクター（インフラストラクチャ業界など）または組織のタイプに合わせて調整されたベースラインプロファイルを採用できます。次に、現在のプロファイルからターゲットプロファイルへのステップ切り替えを定義できます。

サイバーセキュリティ活動の機能とカテゴリー

NISTサイバーセキュリティフレームワークは、その「コア」素材を5つの「機能」に編成し、合計23の「カテゴリー」に細分します。各カテゴリについて、サイバーセキュリティの結果とセキュリティ管理のサブカテゴリをいくつか定義し、全部で108のサブカテゴリがあります。

各サブカテゴリについて、ISO 27001、COBIT、NIST SP 800-53、ANSI / ISA-62443、Cyber​​Security Critical Security Controls（ CCS CSC、現在はインターネットセキュリティセンターによって管理されています）。特別な出版物（SP）は別として、参考資料のほとんどは、それぞれのガイドにアクセスするために有料会員または購入が必要です。このフレームワークのコストと複雑さにより、中小企業がよりアクセスしやすいサイバーセキュリティフレームワークガイドを作成するようNISTに指示する両院からの請求書が作成されました。

標準のコアのスプレッドシートビューのカテゴリ列に記載されているように、機能とカテゴリ、およびそれらの一意の識別子と定義を次に示します。

識別する

「システム、資産、データ、機能に対するサイバーセキュリティリスクを管理するための組織的な理解を深めます。」

• 資産管理（ID.AM）：組織がビジネス目的を達成できるようにするデータ、人員、デバイス、システム、および設備は、ビジネス目標および組織のリスク戦略に対する相対的な重要性と一致して識別および管理されます。
• ビジネス環境（ID.BE）：組織の使命、目的、利害関係者、および活動が理解され、優先順位が付けられます。この情報は、サイバーセキュリティの役割、責任、およびリスク管理の決定を通知するために使用されます。
• ガバナンス（ID.GV）：組織の規制、法的、リスク、環境、および運用の要件を管理および監視するためのポリシー、手順、およびプロセスが理解され、サイバーセキュリティリスクの管理に通知されます。
• リスク評価（ID.RA）：組織は、組織の運用（ミッション、機能、イメージ、または評判を含む）、組織の資産、および個人に対するサイバーセキュリティリスクを理解しています。
• リスク管理戦略（ID.RM）：組織の優先順位、制約、リスク許容度、および仮定が確立され、運用リスクの決定をサポートするために使用されます。

保護する

「重要なインフラストラクチャサービスの配信を保証する適切なセーフガードを開発および実装します。」

• アクセス制御（PR.AC）：資産および関連施設へのアクセスは、許可されたユーザー、プロセス、またはデバイス、および許可されたアクティビティとトランザクションに制限されます。
• 認識とトレーニング（PR.AT）：組織の人員とパートナーは、サイバーセキュリティ意識教育を提供され、関連するポリシー、手順、および合意に沿った情報セキュリティ関連の義務と責任を実行するために適切にトレーニングされています。
• データセキュリティ（PR.DS）：情報と記録（データ）は、情報の機密性、整合性、および可用性を保護するために、組織のリスク戦略と一貫して管理されます。
• 情報保護のプロセスおよび手順（PR.IP）：セキュリティポリシー（目的、範囲、役割、責任、管理のコミットメント、および組織エンティティ間の調整に対処する）、プロセス、および手順が維持され、情報システムおよび資産の保護を管理するために使用されます。
• メンテナンス（PR.MA）：産業用制御および情報システムコンポーネントのメンテナンスと修理は、ポリシーと手順に従って実行されます。
• 保護技術（PR.PT）：技術的なセキュリティソリューションは、システムと資産のセキュリティと復元力を確保するために管理されており、関連するポリシー、手順、および契約と一致しています。

検出

「適切なアクティビティを開発および実装して、サイバーセキュリティイベントの発生を特定します。」

• 異常とイベント（DE.AE）：異常なアクティビティはタイムリーに検出され、イベントの潜在的な影響が理解されます。
• セキュリティ継続監視（DE.CM）：情報システムと資産は、サイバーセキュリティイベントを識別し、保護対策の有効性を検証するために、個別の間隔で監視されます。
• 検出プロセス（DE.DP）：異常なイベントをタイムリーかつ適切に認識できるように、検出プロセスと手順が維持およびテストされます。

応答する

「検出されたサイバーセキュリティイベントに関してアクションを起こすための適切なアクティビティを開発および実装します。」

• 応答計画（RS.RP）：検出されたサイバーセキュリティイベントへのタイムリーな応答を確保するために、応答プロセスと手順が実行および維持されます。
• 通信（RS.CO）：対応活動は、法執行機関からの外部サポートを含めるために、必要に応じて内部および外部の利害関係者と調整されます。
• 分析（RS.AN）：適切な応答を確保し、回復活動をサポートするために分析が行われます。
• 軽減（RS.MI）：イベントの拡大を防ぎ、その影響を軽減し、インシデントを根絶するためのアクティビティが実行されます。
• 改善（RS.IM）：現在および以前の検出/対応活動から学んだ教訓を取り入れることにより、組織の対応活動が改善されます。

回復する

「回復力の計画を維持し、サイバーセキュリティイベントにより機能が低下した機能やサービスを復元するための適切なアクティビティを開発および実装します。」

• 復旧計画（RC.RP）：サイバーセキュリティイベントの影響を受けたシステムまたは資産のタイムリーな復元を確保するために、復旧プロセスと手順が実行および維持されます。
• 改善（RC.IM）：学んだ教訓を将来の活動に取り入れることにより、回復計画とプロセスが改善されます。
• コミュニケーション（RC.CO）：修復活動は、調整センター、インターネットサービスプロバイダー、攻撃システムの所有者、被害者、他のCSIRT、ベンダーなどの内部および外部の関係者と調整されます。