これから必要なのは侵入後の対応策--今取るべきセキュリティ対策の本筋

　フレームワークコアは、企業を含め、組織の種類や規模に関係なくサイバーセキュリティ対策とその期待される効果、参照すべき情報を示している。「識別（Identify）」、「防御（Protect）」、「検知（Detect）」、「対応（Respond）」、「復旧（Recover）」の5つの機能で構成し、各組織はこの5機能を並行かつ継続して実行しなければならない。

　さらに、5つの機能のそれぞれが、以下3つの要素で構成される。（図3）

1. カテゴリー：それぞれの機能を細分化
2. サブカテゴリー：「カテゴリー」を詳細化
3. 参考情報：「サブカテゴリー」に関連するガイドライン等、参考すべき情報群

図3：NIST CSF翻訳資料P6「2.1 フレームワークコア」から引用（出典：IPA）
※クリックすると拡大画像が見られます

　実際の例を示すと以下の通りである。（図4）

図4：NIST CSF翻訳資料P24「表2：フレームワークコア」から引用（出典：IPA）
※クリックすると拡大画像が見られます

　この例をもとに読み解くと、識別機能には「資産管理」カテゴリーがあり、デバイスやシステム、ソフトウェアなどの目録作成が必要とされ、その具体的な内容を自組織で規程化するための指標となるガイドラインは、例えば、NIST SP800-53 Rev.4（PDF）のCM-8とPM-5に記載されている、と理解していけば良いだろう。

　企業にとって、セキュリティリスクとなるサイバー攻撃の脅威に対応するために、まず重視するのは「識別」と「防御」である点は、これまでもこれからも変わることはない。

　ただし、自社ネットワークの境界に対してのみの防御では、もはや防御にはならない。デジタルワークプレイスによって利用者の端末は広範囲に分散し、クラウドの利用によって守るべき情報資産も広範囲に分散した。この分散した情報資産をどう防御するのか、デファクトスタンダードに則って、改めて検証してみる必要がある。

　そして、鉄壁の防御方法などはなく、侵入を100％防ぐのはもはや不可能である。市場での理解も進んでいるが、侵入後の危機管理を多層防御や出口対策といった防御方法のみで対応するのではでなく、「検知」による脅威の可視化と「対応」「復旧」という危機管理、ビジネスを止めないための事後対策への重要性が求められている。

　現在の企業には、信頼性と利益を守るための、包括的なサイバーセキュリティ対策が求められている。NIST CSFなど信頼できるベースラインに基づいて、デファクトスタンダードに則った対策を進め、その状況を説明できることは、社会的信頼獲得の点からも極めて重要になる。

まとめ

　グローバルに活動する日本企業にとって、自社のサイバーセキュリティ対策状況の説明は、サプライチェーンも含めて、随時求められる。日本国内でのみ活動する企業や中小企業も、今ではインターネットを介して常に全世界の脅威と対峙している。セキュリティのデファクトスタンダードへの準拠は極めて重要であり、かつ改訂へのタイムリーな追従も求められる。

　NIST CSFは、各企業の実情にあわせて利活用されるフレームワークを想定しており、CSFの内容を理解し、自社に則したセキュリティ対策を導き出す必要がある。

　また、参考情報の要素で言及されるSP800-53やSP800-171、CIS Controlsをベースラインに、各カテゴリーの具体策、規程や細則、マニュアルなどの整備、実装することになる。システムだけでなく、体制や対応フローなど、考えなければならない範囲は広いため、企業としては優先度の高い施策や必要最低限の範囲を先行着手したいと考えるかもしれない。その際は、CIS Controlsのトップ20を実践していくのもよい。

　CIS Controlsは組織や企業が「最初に最低限行わなければならないこと」に注力できるように優先度付けしており、かつ自動化を念頭に置いているため、人員不足が要因で対策が進まない企業への有効な指標になるだろう。

　コロナ禍によるテレワーク推進など、各企業は市場の変化への対応とともにサイバーセキュリティリスクの認識、対策を推進している。

　しかし、インターネットを介した脅威は常に全世界が相手である。常にデファクトスタンダードを意識した対策を計画する必要があり、管理策としてツールやソリューションを導入する場合も、デファクトスタンダートとなっているガイドラインへの準拠性に基づいている必要がある。

　次回は、最近のデジタルワークプレイスの推進やクラウドの活用によって活発に議論されるようになっている「ゼロトラストセキュリティ」に関して考察する。