米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(NIST CSF)は、今日最も広く採用されているセキュリティフレームワークの一つです。これは自主的な標準規格として機能し、ビジネス目標に基づき、組織のより広範なリスク管理フレームワークの中でサイバーセキュリティの取り組みを方向づけます。
NIST CSFは、特に米国の重要インフラにおけるサイバーセキュリティとリスク管理を強化するために設計された包括的なガイドラインとベストプラクティスのセットです。2013年に開始されたこのイニシアチブは、サイバーセキュリティの脅威インテリジェンスの共有における協力を促進し、リスクを軽減するための効果的な戦略を策定することを目的としています。
現在、NIST CSFの適用範囲は米国の重要インフラの枠を超えています。国境を越えて広く採用され、多くの言語に翻訳され、世界中の様々な政府、企業、組織で活用されています。サイバーセキュリティリスク管理の基盤要素として広く認識されているこのフレームワークは、脅威への積極的な対応において不可欠な資産となっています。
NIST サイバーセキュリティ フレームワークを開発するために、NIST は特定の設計原則を遵守しました。
● 重要インフラのさまざまな分野に適用可能なセキュリティ標準とガイドラインを特定する
● 優先順位付けされた、柔軟性があり、繰り返し可能な、パフォーマンスに基づいた、費用対効果の高いアプローチを提供します
● 重要インフラの所有者と運営者によるサイバーリスクの特定、評価、管理の支援
● 組織の違いを考慮しながら技術革新に対応する。
● 技術中立的なガイダンスを提供することで、重要なインフラ部門が製品やサービスの競争市場を活用できるようにする。
● サイバーセキュリティフレームワークの実装のパフォーマンスを測定するための手順を含む
● 改善すべき点を浮き彫りにし、特定の分野や標準策定団体との将来的な協力を促進する
NISTサイバーセキュリティフレームワークの主な要素
NIST サイバーセキュリティ フレームワークは、次の 3 つの主要コンポーネントで構成されています。
フレームワークコア
このコアは、識別、保護、検知、対応、復旧という5つの機能で構成されています。これらの機能は、NISTサイバーセキュリティフレームワークで多くの人が連想する機能を網羅しており、サイバーリスクを軽減するための実用的な手順を提供しています。
実装層
実装段階は成熟度レベルとは異なります。実装段階は、サイバーセキュリティリスクに関する意思決定がより広範なリスク管理上の意思決定にどの程度組み込まれているか、そして組織が外部組織とサイバーセキュリティ情報を交換できる能力を示します。これらの段階は、NIST管理策の導入状況に基づいて組織を4つのレベルに分類します。各段階は以下のように説明できます。
● 部分的:サイバーセキュリティ リスク管理は通常、事後対応的または場当たり的であり、対処するリスクのレベルに応じて活動の優先順位が付けられていません。
● リスク情報:組織全体で標準化されてはいませんが、リスク管理の実践は、組織のリスク目標、脅威の状況、ビジネス ニーズを考慮して、サイバーセキュリティ活動の優先順位付けに直接影響します。
● 再現性:組織は、正式に承認されたリスク管理ポリシーに基づき、組織全体にわたる標準化されたサイバーセキュリティリスク管理アプローチを採用しています。これらのプラクティスは、変化するビジネス要件と脅威環境に合わせて定期的に更新されます。
● 適応性:過去および現在のサイバーセキュリティの取り組みに基づき、組織はサイバーセキュリティの実践を継続的に調整します。これには、過去の経験からの学び、高度な技術と方法論の統合、そして新たな脅威や技術の進歩への積極的な対応が含まれます。
フレームワークプロファイル
各組織はそれぞれ独自の特徴を持ち、プロファイルは、サイバーセキュリティ・フレームワークを組織固有のニーズに合わせてカスタマイズする方法についてのガイダンスを提供します。明確な「正しい」アプローチや「間違った」アプローチはなく、組織の要件に合わせてカスタマイズすることが重要です。
これには、サイバーセキュリティのニーズ、ミッション目標、運用方法を、フレームワークコアで概説されているカテゴリーとサブカテゴリーに整合させることが含まれます。要件と目標を組織の現在の運用状況と比較することで、ギャップを特定し、それらに対処するためのコストを評価することが可能になります。
NIST CSFの5つの機能と産業現場での適用方法
識別する
最初のステップは、システム、資産、データ、そして機能に対するサイバーセキュリティリスクを効果的に管理するために、自社の環境を包括的に理解することです。つまり、サイバーセキュリティプログラムの強固な基盤を築くことです。諺にもあるように、知らないものを守ることはできません。
産業現場では、ハードウェアとソフトウェアの徹底的なインベントリを作成する必要があります。産業インフラは分散化され複雑であるため、OT資産に関する完全な情報を取得することは困難です。
このハードルを克服するために、セキュリティ チームは、エージェント、エージェントレス技術、ネイティブ ICS プロトコル ポーリング、パッシブ モニタリングなどの収集方法を組み合わせて、可能な限り徹底的な資産インベントリを構築する必要があります。
守る
これには、潜在的なサイバーセキュリティインシデントの影響を軽減または抑制するための適切な対策の策定と実施が含まれます。活動には、IDとアクセスの管理、従業員へのサイバーセキュリティトレーニングの提供、資産のベースライン設定の確立と監視、新たなセキュリティ脆弱性の管理などが含まれます。
産業チームにとって、これは制御システムへのリモートおよび物理アクセスを保護するソリューションを導入し、セキュリティ意識向上トレーニングに投資し、構成管理および脆弱性監視ツールを活用することを意味します。
検出する
この機能は、サイバーセキュリティインシデントを迅速に特定するための対策の実施に重点を置いています。資産およびネットワークのベースラインをリアルタイムで監視し、異常なアクティビティを検出します。異常が検出された場合は、平均修復時間(MTTR)を短縮するために、アラートに実用的な情報を付加する必要があります。
産業分野では、多くの組織がネットワーク異常検知ツールを活用しています。このテクノロジーを活用する際には、提供されるアラートに、異常が発生した理由とその重大性を説明するコンテキストデータが含まれていることを確認してください。
応答する
組織は、検知されたサイバーセキュリティインシデントへの対応として、適切な行動を策定し、実行する必要があります。これは、インシデントを効率的に伝達、封じ込め、分析するための対応計画を策定することを意味します。インシデントから得られた教訓は、将来の対応計画の改善に活かされるべきです。
インシデントの根本原因を解明するには、脅威とそのネットワークへの侵入に関するフォレンジック情報へのアクセスが不可欠です。重要インフラにおいては、過去のイベントログをアーカイブすることで、脅威の発生源と拡散に関する洞察を得ることが不可欠です。
回復する
最後の機能は、サイバーセキュリティインシデントによって損なわれた機能やサービスを復旧するための効果的な活動を策定・実行するよう企業に指示します。対応機能と同様に、影響を受けたサービスを復旧し、従業員や一般の人々にインシデントとその解決策について周知するための復旧計画を策定する必要があります。
産業環境では、これは多くの場合、運用プロセスを迅速にオンラインに戻すことを意味します。これを実現するには、最新のセキュリティ資産構成のバックアップを保有することが、復旧要件を理解する上で不可欠です。
結論
NISTサイバーセキュリティフレームワークへの準拠を確保することは、サイバー脅威から産業環境を守るために不可欠です。このフレームワークの機能(識別、保護、検知、対応、復旧)を実装することで、組織はサイバーセキュリティ体制を強化し、リスクを効果的に軽減することができます。
このプロセスを効率化し、シームレスなコンプライアンスを確保するには、Sectrioの専門知識とソリューションの活用をご検討ください。Sectrioのソリューションを活用して、今すぐ積極的に対策を講じ、産業オペレーションをサイバー脅威から守りましょう。
