NIST SP800-160 Vol 2, Rev.1「Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」(サイバーレジリエントなシステムの開発:システムセキュリティエンジニアリングアプローチ)

掲載:2024年09月17日

執筆者:チーフコンサルタント 亀倉 幸太郎

ガイドライン

サイバー攻撃の脅威は日々増加しています。その被害は深刻化しており、最悪の事態では事業の継続が困難になるケースなど、組織に甚大な影響を及ぼす可能性があります。このような情勢の中で、サイバー攻撃対策と事業継続(BCP)を紐づけて考え、対応を一本化する考え方に注目が集まっています。特に、組織がサイバー攻撃などの被害を受けてからいち早く復旧し事業継続を行うため、「サイバーレジリエンス」が重要視されています。レジリエンス(resilience)とは「耐性」や「弾性」、「回復力」を示す言葉で、サイバー攻撃などのダメージを受けた際でも被害を最小限に抑えて迅速に回復し、組織やシステムの機能を維持する能力を指します。


このサイバーレジリエンスの基本的な考え方を示したガイドラインが「NIST SP800-160 Vol 2, Rev.1 Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」(以下、NIST SP800-160 Vol 2, Rev.1)です。本稿ではその内容や実現方法について解説していきます。

         

NIST SP800-160 Vol 2, Rev.1とは

NIST SP 800-160 Vol2は米国国立標準技術研究所(NIST)が2018年に発行したNIST SP 800-160 Vol1の続編として、2019年に策定されたガイドラインです。2021年にはその改訂版として、Vol2 Revesion1 が策定されており、本稿ではこの内容について解説していきます。このガイドラインはサイバーレジリエンスを備えたシステム設計のフレームワークを提供しています。その手法としてシステムセキュリティ工学のアプローチを採用しており、サイバーセキュリティの充実をシステムの開発段階から考慮することに役立ちます。

現在、サイバー攻撃への対応には、NISTが発行するNIST-CSF(Cybersecurity Framework)がよく知られていますが、このガイドラインは、サイバー攻撃の脅威に対してどう被害を防ぎ、どう対応するかをまとめたものであり、被害からの回復や事業継続に特化した内容ではありません。NIST-CSF内にも復旧についての記載がありますが、復旧してからどの様に事業継続につなげるかや、被害を受ける前提で復旧しやすい体制構築についての記載はありません。

これに対し、NIST SP 800-160 Vol 2, Rev.1はシステムのライフサイクル全体にわたってサイバーレジリエンスの実現に必要な対応を示しているため、組織の事業継続に直結したガイドラインだと言えます。ガイドラインの推奨するフレームワークを活用することで、システムリスクを低減し、サイバー被害への回復力を持つシステムライフサイクルを実現できます。

NIST SP800-160 Vol 2, Rev.1の構成

NIST SP800-160 Vol 2, Rev.1の目次は以下の通りです。

表1 NIST SP800-160 Vol 2, Rev.1の目次
第1章 イントロダクション
  • 1.1 目的と適用性
  • 1.2 対象
  • 1.3 本書の使い方
  • 1.4 出版組織
第2章 基本
  • 2.1 サイバーレジリエンスのフレームワーク
  • 2.2 システムライフサイクルにおけるサイバー回復力
  • 2.3 リスク管理とサイバー回復力
第3章 サイバーレジリエンスの実践
  • 3.1 サイバーレジリエンスの構成要素の選択と優先順位付け
  • 3.2 分析の実践とプロセス
参考文献 - -
付録 付録G
  • 付録A 用語集
  • 付録B 頭字語
  • 付録C 背景
  • 付録D サイバー回復力の構成要素
  • 付録F 敵味方志向の分析
  • 付録G 運用術

出典:米国国立技術標準技術研究所「NIST Special Publication 800-160, Volume 2 Revision 1Developing Cyber-Resilient Systems:A Systems Security Engineering Approach」をもとに筆者作成

サイバーレジリエンスのフレームワーク(第2章)

NIST SP 800-160 Vol 2, Rev.1はサイバーレジリエンスを備えたシステム設計を実現するための要素として、「目的」「活動目標」「技法」「実装アプローチ」「設計原則」を定義しています。この内容を基に、組織はシステムの目的および組織の環境に合わせて、それぞれの要素を組み合わせて利用することが推奨されています。

では、ここでは最初の3つの要素をもう少し詳しく見てみましょう。

【目的】(2.1.1)
予測:脅威情報に基づいた準備状態を維持する
耐久:脅威の下にあっても、重要なミッションやシステムの役割や機能を継続する
回復:脅威にさらされている最中や脅威が過ぎ去った後にシステムの役割や機能を復元する
適応:今後の技術、運用、脅威環境の変化を予測してシステムの役割や機能を変更する

システムへの脅威に対し、未然対応にあたる「予測」から、事象への対処にあたる「耐久」、事後対応としての「回復」と「適応」が必要であると説明しています。

これらの目的を達成しようとする際に、システムのライフサイクルの中で何を実践すべきかを「活動目標」として以下のように示しています。

【活動目標】(2.1.2)
予防と回避:サイバー攻撃を阻止し、被害を回避するための施策を検討する
準備:被害を受けることが予測される脅威に対処する現実的な対策を運用し続ける
継続:サイバー攻撃などを受けた際に必要な重要度が高い事業や業務が継続できる時間を最大化する
制限:サイバー攻撃により被害を受ける範囲を限定する
回復:サイバー攻撃を受けた後に可能な限り多くの事業や業務をすばやく回復する
理解:重要度が高い事業や業務で利用しているシステムやシステム同士の依存関係を把握する
改変:脅威環境の変化に柔軟に対処するために、重要度が高い事業や業務で利用しているシステムの機能やサポート手順を修正する
再設計:脅威環境の変化に柔軟に対処するために、システムのアーキテクチャを修正する

活動目標のポイントは、サイバー攻撃への防御や対処だけでなく、重要度の高いシステムの把握やシステムの設計の見直しなどの観点が含まれていることです。
例えば、「理解」では、より高いレジリエンスを発揮するために、重要度が高い事業や業務で利用するシステムの把握を推奨しています。他にも、「改変」や「再設計」では、セキュリティの脅威に応じてシステムの運用手順やシステムのアーキテクチャの見直しを求めています。これらはサイバー攻撃を受けてしまった際の影響を最小化し、いち早く回復させるために必要な項目であり、その点で他のサイバー攻撃対策にのみ焦点を当てた考え方と異なります。

では、この活動目標を実践しようとする際に、どのようなことに取り組めばよいのでしょうか。本ガイドラインは、サイバーレジリエンスの実現に向けて具体的に活用すべきテクニックとして、以下の14の技法を紹介しています。

【技法】(2.1.3)
表2 NIST SP800-160 Vol 2, Rev.1が示す14の技法
# 技法の名称 詳細
1 適応的対応 リスクを管理するためにアジャイルで行動する
2 分析的モニタリング 継続的にさまざまな特性や行動を監視・分析する
3 文脈的な状況認識 脅威事象や行動方針を考慮して、ミッションやビジネスの現状を捉えた上で構築し、維持する
4 保護機能の融和 保護メカニズムが相互に協調的、効果的に機能するようにする
5 フェイント サイバー攻撃者を惑わし、混乱させるために、重要な資産を敵から隠したり、改ざんされた資産を敢えて攻撃者に見せたりする
6 多様性 異質性を利用して、共通の脆弱性を悪用する脅威事象を最小化する
7 ダイナミックポジショニング 機能やシステム資産を分散し、動的に再配置する
8 非永続的 資産を、臨機応変、もしくは限られた期間だけ保持する
9 権限の制限 ユーザーやシステム要素の属性、環境要因に基づき権限を制限する
10 再編成 ビジネスのニーズに合わせ、リスクを軽減し、技術、運用、脅威環境の進化に対応できるよう、システムと資産の使用を構造化する
11 冗長性 重要な資産が複数保護されたインスタンスを提供する
12 セグメンテーション 重要性と信頼性に基づいてシステム要素を定義し、分離する
13 完全性の立証 重要なシステム要素が破損していないかどうかを確認する
14 予測不可能性 ランダムに、あるいは予測不可能に変更を加える

出典:米国国立技術標準技術研究所「NIST Special Publication 800-160, Volume 2 Revision 1Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」をもとに筆者作成

先述のとおり、システム設計においてこれらの要素を組み合わせて利用する際は、それぞれの相互関係を理解することが必要です。

例えば、活動目標の一つである「準備」を行うために、自組織のシステムのモニタリングについて検討するとします。システムのモニタリングでは、「#2 分析的モニタリング」と「#3 文脈的な状況認識」の技法が活用できます。「#2 分析的モニタリング」はシステムを継続的にモニタリングする方法を示していますが、「#3 文脈的な状況認識」は、モニタリングをおこなう際に考慮すべき観点を示しています。これらを基に「#3 文脈的な状況認識」の観点で、「#2 分析的モニタリング」を実施する形をとることで、より効果的なモニタリングが可能になり、この2つの技法は、相互補完的な関係にあると言えます。

他の例では、活動目標の「制限」を行う場合には、「#14 予測不可能性」の活用が重要になります。その際に、「#7 ダイナミックポジショニング」と併用すると、システムの設定やネットワーク配置を不規則なタイミングで変更して予測不可能にすることができ、攻撃者が事前に攻撃の機会を察知しにくくすることができます。

このように技法それぞれの相互関係を理解することで、活動目標の有効性を高めることができます。

NIST SP800-160 Vol 2, Rev.1 実装手法のポイント(第3章)

NIST SP 800-160 Vol 2, Rev.1を実践するポイントとして、「サイバーレジリエンスの構成要素の優先順位付け」と「分析の実践とプロセス」の2つの軸があります。

1. サイバーレジリエンスの構成要素の優先順位付け(3.1)

組織に適したサイバーレジリエンスを構築するためには、先述のとおり14の技法の相互関係を理解した上で、取捨選択することが重要です。本ガイドラインは、普遍的な解決策を提供するのではなく、組織に合った実装のサポートを目指しています。つまり、すべての技法を採用する必要はありません。

取捨選択する上で考慮したい事象には以下のようなものがあります。

  • サイバーリスク管理戦略
  • システム・タイプ
  • サイバーレジリエンスの競合と相乗効果
  • その他の分野と既存の投資
  • サイバーセキュリティ、COOP(Continuity of Operations Plan、業務継続計画 )、レジリエンス工学からの投資
  • 顧問以外の分野からの投資
  • 逆境からの投資
  • 建築ロケーション
  • 敵、脅威、リスクへの影響
  • 成熟度と採用の可能性
2. 分析の実践とプロセス(3.2)

この項では、組織がシステムのセキュリティや業務継続を確保できるか、つまりサイバーレジリエンスを実現する力量を評価するためのプロセスについて説明しています。この分析を用いると、組織はシステムが脅威環境(例:APT)に対して十分な回復力を持っているかを確認することができます。その結果に基づいて設計変更、新技術の導入、運用手順の見直しなどに活用することができます。

具体的な分析プロセスは下表の通りです。

表3 NIST SP800-160 Vol 2, Rev.1が示す分析プロセス
# 分析のステップ 対応項目
1 文脈を理解する
  • プログラム上の背景を明らかにする
  • 建築的背景を特定する
  • 作戦の背景を明らかにする
  • 驚異の背景を特定する
  • サイバー回復力の構成要素を解釈し、優先順位をつける
2 最初のサイバーレジリエンシーのベースラインを確立する
  • 既存の能力を特定する
  • ギャップと問題を特定する
  • 評価基準を定め、最初の評価を行う
3 システムを分析する
  • 重要なリソース、脆弱性の原因、攻撃対象領域を特定する
  • 敵の視点を表現する
  • 改善の機会を特定し、優先順位をつける
4 具体的な代替案の定義と分析
  • 技術的および手続き的な解決策の可能性を定義する
  • システムやプロセスをサポートするための潜在的なソリューションを定義する
  • 基準に関して潜在的な解決策を分析する
5 推奨事項の策定
  • 代替案を特定し、分析する
  • 代替案を評価する
  • 行動計画を提案する

出典:米国国立技術標準技術研究所「NIST Special Publication 800-160, Volume 2 Revision 1Developing Cyber-Resilient Systems:A Systems Security Engineering Approach」をもとに筆者作成

この分析プロセスは、サイバーレジリエンス実現に関するあらゆる目的を持つ組織に活用できるよう、汎用的なアプローチになっているのが特徴です。例えば、純粋にサイバーレジリエンスの実現を目指したいというだけでなく、APTによるサイバーリスクに基づいてリスク対応の再評価を行いたい、システムセキュリティ開発をサポートしたい、新たな脅威や脆弱性への対応計画を立てたいなどは、どの組織にも共通して必要な活動です。こうした活動にも有効な手となるのがこの分析プロセスです。

分析結果は、BCPやIT-BCPの策定・見直し、CSIRTマニュアルやインシデント対応フローの策定・見直し、ITリスク/セキュリティリスクアセスメントの実施、訓練や演習の設計と実施などに反映することで、セキュリティやIT環境におけるリスク管理を統合して行うことを可能とします。

サイバーレジリエンスの今後の展望

サイバーレジリエンスへの対応が事業継続力の向上や市場での企業の評価に影響を及ぼすことで、多くの企業がその必要性を実感し、NIST SP 800-160 Vol 2, Rev.1は今後、世間の「当たり前の考え方」になると思われます。冒頭でも示したように、本ガイドラインはサイバー攻撃対応のグローバルスタンダードであるNIST-CSFには記載されていない、サイバー被害からの回復や事業継続に関する対応を補っています。今後はNIST-CSF とNIST SP 800-160 Vol 2, Rev.1がセットで捉えられるようになると考えられます。

また、NIST SP 800-160 Vol 2, Rev.1の大きな特徴として、サイバーレジリエンスに必要な対応をシステムのライフサイクル全体にわたって示しているという点があります。その中ではサイバー攻撃をいかに防ぐかだけでなく、被害からいかに立ち直るかというサイバー攻撃にあうことを前提とした対策が示されています。

今後、サイバー攻撃がより巧妙化し被害を防ぐことがさらに難しくなる中で「セキュリティ・バイ・デザイン」に加えて、「レジリエンス・バイ・デザイン」といった考え方が一般化されると筆者は予測しています。サイバーレジリエンスの構築は、先進的な危機対応力の実現につながるため、セキュリティ対応の強化やBCPの強化に取り組む皆様にとって重要なトピックとなります。

NIST SP 800-160 Vol 2, Rev.1を活用し、その考え方を用いて組織のレジリエンス強化に取り組んでいきましょう。