Loading
ブログ

NISTサイバーセキュリティフレームワークとは

NISTサイバーセキュリティフレームワークの6つの主要機能、戦略のカスタマイズ方法、実装段階による準備状況の評価方法をご紹介します。
Happy Black African women engineer worker enjoy working in factory industry.

ITまたはOTセキュリティマネージャは、ICSのセキュリティを確保しながらリソースの制約に対処するという、常に綱渡りのような作業に追われています。幸いなことに、NISTサイバーセキュリティフレームワークは、これらの課題に効果的に対処するための構造化されたプロアクティブなアプローチを提供するため、日々の業務を少し楽にしてくれます。

NIST CSF (米国国立標準技術研究所サイバーセキュリティフレームワーク)は、米国商務省が策定した標準化されたサイバーセキュリティフレームワークです。要件ではなくビジネス成果に焦点を当て、サイバー、物理、個人の領域にわたる様々なサイバーセキュリティ目標を網羅しています。

NIST CSFが開発された理由

従来の事後対応型対策では進化する脅威に十分対応できないことが証明されたことを受け、サイバーセキュリティに対する構造化されたプロアクティブなアプローチの必要性に応えて、このフレームワークが開発されました。2013年の大統領令に基づいて策定され、その後もサイバーセキュリティを取り巻く状況の変化に対応できるようアップデートを重ねてきました。最新のアップデートはバージョン2.0で、2024年2月にNISTによって開発されました。

サイバー攻撃の増加に伴い、ITチームとOTチームには時間を無駄にすることはできません。SANSの2024 State of ICS/OT Cybersecurity白書によると、調査対象となった組織の約45%がOTセキュリティにNISTサイバーセキュリティフレームワークを使用しています。この記事では、NIST CSF 2.0、プロファイル、および階層について知っておくべきことを解説します。

ウェビナーをご覧ください: Designing a Robust OT Cybersecurity Strategy Using the NIST Framework to strengthen your OT environment (OT環境の強化のためのNISTフレームワークを用いた堅牢なOTサイバーセキュリティ戦略の設計)

ご覧ください

NIST CSFフレームワークコアの6つの機能

NISTアイバーセキュリティフレームワーク(CSF)
360°保護のための信頼性の高いアプローチ

balance scale

組織の状況

リスク管理戦略

役割と責任

ポリシーと手順

eye

アセットマネジメント

ビジネス環境

リスクアセスメント

リスク管理戦略

lock

意識向上とトレーニング

データセキュリティ

情報保護と手順

メンテナンス

保護技術

magnifying glass

異常とイベント

セキュリティの継続的な監視

検知プロセス

group of people respond to alert

対応計画

周知(コミュニケーション)

分析

緩和策

改善

cycle

復旧計画

現地での復旧

改善

周知

「フレームワークコア」は、6つの主要機能(ガバナンス、特定、防御、検知、対応、復旧)に基づいた、分かりやすいサイバーセキュリティガイダンスを提供します。各機能には詳細なカテゴリとサブカテゴリが用意されており、例えば「特定」機能の下にある「アセットマネジメント」は、組織がリソースの棚卸を行なう際に役立ちます。また、サイバーセキュリティのベースラインを確立し、利害関係者に状況を伝達するための参考資料、規格、ガイドラインも含まれています。

1. ガバナンス

「ガバナンス」機能は、組織のリスク管理戦略を維持します。残りの5つの機能から得られた結果を組織がどのように処理するかについての方向性を示します。

主な業務内容:

  • OTサイバーセキュリティポリシーの策定と周知
  • OTサイバーセキュリティの役割と責任の調整と整合
  • 法的および規制要件に関する教育と管理
  • サイバーセキュリティリスクを企業のリスク管理プロセスに組み込む
  • 進行中の取り組みに対する継続的な監視とチェックポイントの実施

2. 特定

「特定」機能は、NISTサイバーセキュリティフレームワークの2番目のステップです。組織の資産、ビジネスコンテキスト、ガバナンスを理解し、リスクを評価することが含まれます。

主な業務内容:

  • アセットマネジメント: すべての資産のインベントリを作成する。
  • ビジネス環境: 組織の状況と戦略目標を理解する。
  • ガバナンスとリスク管理: リスク管理ポリシーを確立する。
  • リスクアセスメント: サイバーセキュリティリスクを特定する。
  • サプライチェーンリスク管理: サードパーティリスクを評価する。

この機能は、ITまたはOTセキュリティ管理者が企業ネットワークとICSを可視化し、どのインフラに追加の保護が必要かを把握できるようにすることで、効果的なサイバーセキュリティリスク管理の基盤を構築します。組織にとっては、意思決定を支援し、戦略目標との整合性を確保します。

3. 防御

「防御」機能は、アクセス制御、データセキュリティ、意識向上とトレーニング、セキュリティポリシーなどの対策を通じて、サイバーセキュリティの脅威から資産とデータを保護することに重点を置いています。

主な業務内容:

  • アクセス制御: 重要なシステムへのアクセス制御
  • データセキュリティ: 暗号化と安全な保管によるデータ保護
  • 意識向上とトレーニング: サイバーセキュリティトレーニングの提供
  • セキュリティポリシーと手順:サイバーセキュリティポリシーの実装
  • インシデント対応計画: セキュリティインシデントへの備え
  • セキュアなサプライチェーン管理: サードパーティのセキュリティ確保

資産とデータの保護は、データの整合性、機密性、可用性を維持するために不可欠です。これらの対策は、ITまたはOTセキュリティ管理者が重要なシステムへのアクセス制御を保護し、産業機器の構成を安全にすることで、全体的な攻撃対象領域を縮小し、組織のレジリエンスを確保するのに役立ちます。

4. 検知

「検知」機能は、異常なアクティビティやインシデントの監視など、サイバーセキュリティイベントの早期かつ効果的な検出を重視しています。

主な業務内容:

  • 異常とイベント: 異常なアクティビティの監視
  • セキュリティ継続監視: リアルタイムの脅威検知
  • インシデント検知と対応: セキュリティインシデントへの対応
  • 検知プロセス: イベントの検知と報告のための正式なプロセス
  • 脅威インテリジェンスの共有: 脅威情報の共有

脅威を迅速に特定するには、早期検知が不可欠です。これにより、ITまたはOTセキュリティ管理者は迅速に対応し、インシデントを封じ込め、被害とダウンタイムを最小限に抑え、最終的にはサイバーセキュリティリスク管理を向上させることができます。

5. 対応

「対応」機能には、インシデント対応の計画、調整、分析、軽減、回復、周知など、サイバーセキュリティインシデントを検出した後に実行されるアクションが含まれます。

主な業務内容:

  • インシデント対応計画: インシデント対応の準備
  • インシデント調整と周知: 対応と周知の調整
  • インシデント分析: インシデントの性質と範囲の把握
  • インシデント復旧: 影響を受けたシステムの復旧
  • 法執行機関との連携: 法執行機関との連携

この機能は、ITまたはOTセキュリティ管理者が、利害関係者の信頼を維持しながら、整合性のある明確なインシデント対応計画を策定するのに役立ちます。その結果、影響を最小限に抑え、通常業務を復旧し、法規制の要件を遵守できる効果的な対策が実現します。

6. 復旧

「復旧」機能は、サイバーセキュリティインシデント後のサービスと運用の復旧に重点を置いており、復旧計画、調整、周知、教訓の習得が含まれます。

主な業務内容:

  • 復旧計画: 復旧計画の策定と維持
  • 復旧調整: 復旧活動の調整
  • 周知と報告: 透明性のあるコミュニケーション
  • 教訓: 改善点の特定

迅速かつ効率的な復旧プロセスは、ITまたはOTセキュリティ管理者がダウンタイムを最小限に抑え、通常の業務機能を回復し、組織のレジリエンスを強化するのに役立ちます。

NIST CSFポリシー

NIST CSFプロファイルとは何か?

NIST CSFプロファイルは、本質的にはカスタマイズされたロードマップです。つまり、フレームワークの結果を、お客様固有のリスク、ビジネス目標(稼働時間など)、利用可能なリソースに合わせて調整できます。また、現在のプロファイルと目標プロファイルを比較することで、明確かつ優先順位付けされたアクションリストを作成し、両方の領域にわたるセキュリティ体制を強化することもできます。
 

NIST CSFプロファイルはどのように機能するか?

仕組みは以下の通りです。

成果の選択: 組織は、NISTフレームワークが提供する様々なカテゴリとサブカテゴリから、特定のサイバーセキュリティ成果を選択します。これらの成果は、サイバーセキュリティに関して組織が達成したい目標を表します。

カスタマイズ: 選択された成果は、組織固有のニーズに合わせて調整されます。このカスタマイズでは、組織のビジネス目標、リスク許容度、利用可能なリソース、および現在のサイバーセキュリティの実践が考慮されます。

比較: 組織は2つのプロファイルを作成します。1つは既存のサイバーセキュリティ活動を反映する「現在の」プロファイル、もう1つは理想的なサイバーセキュリティの状態を表す「目標」プロファイルです。この2つのプロファイルを比較することで、現在の実践と望ましいサイバーセキュリティレベルとのギャップを把握できます。
 

NIST CSFプロファイルが役立つ理由は?

プロファイルが役立つ理由はいくつかあります。

カスタマイズ: 組織はNISTフレームワークをそれぞれの状況に合わせて調整できます。これは、組織ごとに目標、リスク、利用可能なリソースが異なることを認識しているためです。

明確さ: プロファイルは明確なロードマップを提供し、組織がサイバーセキュリティの改善に必要な事項を容易に理解できるようにします。

優先順位付け: 組織は「現在の」プロファイルと「目標」プロファイル間のギャップを特定することで、取り組みの優先順位付けを行なうことができます。サイバーセキュリティ体制を強化するために、どの領域に早急に取り組む必要があるかを把握できます。

整合: プロファイルは、サイバーセキュリティ活動を組織全体のビジネス目標と整合させるのに役立ちます。これにより、サイバーセキュリティへの取り組みは組織のミッションをサポートし、強化することができます。

要約すると、プロファイルとは、組織が具体的なサイバーセキュリティ目標を設定し、アプローチをカスタマイズし、サイバーセキュリティの実践を改善するためのアクションの優先順位付けを行なうのに役立つ、カスタマイズされた計画です。これにより、組織はサイバーセキュリティへの取り組みを、組織固有のニーズと目標と整合させることができます。

NIST CSF Implementation Tiers

NIST CSF実装段階

NIST CSF実装段階を理解することで、組織の現在のサイバーセキュリティ成熟度を評価できます。OTセキュリティへの取り組みを始めたばかりの段階(ティア1)でも、既に確立されたOTセキュリティプログラム(ティア3または4)でも、これらのティアは継続的な改善のためのフレームワークを提供し、セキュリティ投資をビジネス目標と整合させる機会を提供します。

NIST CSFティア1: 部分的 – 適切な活動の導入開始

ティア1の組織は、サイバーセキュリティに対して「部分的」なアプローチを取っています。サイバーセキュリティの重要性は認識しているものの、サイバーリスクを効果的に管理するために必要なプロセスがまだ完全には確立されていません。特長として、以下の点が挙げられます。

  • 場当たり的な対応: サイバーセキュリティ·     対策は、一般的に事後対応的で、場当たり的に実施されます。
  • 限定的な認識: 組織内でサイバーセキュリティに関する全体的な認識はありますが、包括的または形式化されていません。
  • 一貫性のない実装: サイバーセキュリティ活動は実施されていますが、標準化されたポリシーの欠如が原因となることが多く、組織全体で一貫性がない場合があります。
  • 非公式なリスク管理: リスク管理は非公式に行なわれており、構造化されたアプローチや組織のリスクプロファイルの包括的な理解は行われていません。
     

ティア2: リスク情報に基づく – サイバーセキュリティリスク管理戦略の策定

ティア2は、組織はリスク情報に基づいています。サイバーセキュリティリスク管理戦略の策定に向けた措置を講じており、リスクを認識していますが、全社的なアプローチが完全には導入されていない可能性があります。特長は以下の通りです。

  • リスク認識: 経営陣はサイバーセキュリティリスクを高いレベルで認識し、理解しています。
  • プラクティスの承認: 経営陣はサイバーセキュリティプラクティスを承認している可能性がありますが、組織全体で標準化されていません。
  • 非公式なプロセス: 確立されたプロセスがいくつかあるかもしれませんが、それらはまだ公式化されておらず、ビジネスプラクティスに完全に統合されていません。
  • 優先順位付けされたアクション: 組織はリスクの理解に基づいて、サイバーセキュリティアクションの優先順位付けを開始します。

ティア3: 反復可能 – 対応および復旧手順の標準化

ティア3組織は、反復可能なプロセスを備えています。組織全体で一貫して実施されている、正式なサイバーセキュリティ対策を確立しています。特長は以下の通りです。

  • 正式なポリシー: サイバーセキュリティポリシーが正式に文書化され、定期的に更新されています。
  • 一貫した実装: 組織のリスクプロファイルを明確に理解した上で、サイバーセキュリティ対策が一貫して実施されています。
  • 統合リスク管理: サイバーセキュリティリスク管理は組織のプロセスに統合されており、全体的なビジネスリスク管理の一部となっています。
  • 効果的な周知(コミュニケーション): 組織内および外部パートナとの間で、サイバーセキュリティリスクに関する効果的なコミュニケーションが行なわれています。

ティア4: 適応型 – 実装を継続的に改善する段階

ティア4の組織は適応型です。進化するサイバー脅威とビジネスニーズに積極的に適応する、洗練された先進的なサイバーセキュリティ体制を備えています。特長は以下の通りです。

  • 高度なリスク管理: サイバーセキュリティ対策は、高度なリスク管理戦略に基づいており、変化する脅威の状況に対応するために積極的に適応されています。
  • 継続的改善: 組織は、現在および過去のサイバーセキュリティ活動から得られた教訓と予測指標に基づき、サイバーセキュリティ対策を継続的に学習し、改善しています。
  • 組織的連携: サイバーセキュリティに対して全社的なアプローチを採用しており、組織のあらゆるレベルで緊密な連携が行なわれています。
  • 外部との連携: 組織は、外部パートナと積極的に連携し、情報を共有することでセキュリティ体制の向上に取り組んでいます。

各層はそれぞれ前の層を基盤として構築されており、サイバーセキュリティリスク管理のためのより包括的なアプローチを提供します。組織はこれらの層を用いて、現状を評価し、改善領域を特定し、リスク許容度、リソース、そしてビジネスニーズに合わせた戦略的なサイバーセキュリティの意思決定を行ないます。

未来のセキュリティ確保: ITとOTのためのNISTサイバーセキュリティフレームワーク

NISTサイバーセキュリティフレームワークは、プロアクティブでありながら汎用性の高いツールであり、組織がITとOTのセキュリティの複雑な環境を進むための指針を提供します。ITのデジタル領域であれ、OTの物理領域であれ、NIST CSFはサイバーセキュリティ対策を強化し、重要な業務を保護するための貴重なリソースとなります。

NIST CSFフレームワークのプロアクティブな要素を活用することで、レジリエンス(回復力)を高め、組織の重要なインフラを保護できます。

産業用サイバーセキュリティプログラムの改善をお考えですか? 適切なビジネスケースを構築するためのワークブックをダウンロードしてください。

今すぐダウンロード

公開 2025年9月11日

お客様へのご提案

Loading
Loading
Loading
Loading