NICE Cybersecurity Workforce Framework(SP800-181)とは
掲載:2018年12月07日
ガイドライン
「NICE Cybersecurity Workforce Framework(SP800-181:NICEフレームワーク)」は、サイバーセキュリティにおける様々な業務やそれに求められる能力などを、国家単位で共通化するためにNIST(アメリカ国立標準技術研究所)が策定したフレームワークです。
このNICEフレームワークでは、サイバーセキュリティ人材に求められる役割(Role)と業務(Task)、そしてその役割や業務の遂行に必要とされる具体的な知識(Knowledge)・技術(Skill)・能力(Ability)が定義されています。
サイバーセキュリティのニーズは組織によって様々ですが、このフレームワークの定義を活用することで、サイバーセキュリティ人材の定義を具体化できるため、成長度合いやスキル評価を定量的に実施することが可能となります。
SecBoKなど、国内のフレームワークとの違いは何か
国内で知名度が高い同様のフレームワークでは、iコンピテンシ・ディクショナリや、セキュリティ知識分野(SecBoK)人材スキルマップがありますが、NICEフレームワークと異なる点を挙げると、おおよそ以下のようになります。
項目 | iコンピテンシ・ ディクショナリ |
セキュリティ知識分野 (SecBoK)人材スキルマップ |
NICE フレームワーク |
---|---|---|---|
範囲 | IT全般 | セキュリティ特化 | セキュリティ特化 |
粒度 | 非常に細かい | 中程度 | 細かい |
国内知名度 | ○ | ○ | △ |
言語 | 日本語 | 日本語 | 英語 |
メリット | セキュリティに限らず幅広く且つ網羅的に情報を得られる。 | セキュリティに特化し、必要となる情報がシンプルにまとまっているため、わかりやすくて見やすい。 | SecBoKよりも役割やタスクなどの定義が多く、より詳細に分類されている。 |
デメリット | 情報量が膨大なため、参照するだけでも多くの時間を要する。 | シンプルになっている分、まとまり過ぎている部分もあるため、より詳細に知りたい場合は適していない。 | 和訳されたものがなく、且つSecBoKよりも情報の粒度が細かいため、読み解くのに多少の時間を要する。 |
上記のように、セキュリティに特化している点でSecBoKとNICEフレームワークは類似していますが、より詳細な情報を得たい場合や、グローバルも視野に入れた場合は、NICEフレームワークが役に立つでしょう。逆に、手っ取り早くまとまった情報を得たい場合や、国内に重点を置く場合は、SecBoKの方が活用しやすいでしょう。
サイバーセキュリティ人材の要件とは? NICEフレームワーク活用方法
NICEフレームワークは大きく分けて以下の5つの項目で構成されています。
# | 項目 | 説明 | 備考(和訳) |
---|---|---|---|
1 | Categories | サイバーセキュリティにおける機能を7つに分類したもの | カテゴリー |
2 | Specialty Areas | カテゴリーを専門性ごとに分類したもの | 専門分野 |
3 | Work Roles | 専門分野を求められる役割ごとに分類したもの | 役割 |
4 | Tasks | 各役割に求められる業務 | 業務 |
5 | Knowledge, Skills, and Abilities (KSAs) | 業務の遂行に必要となる知識、技術、能力 | KSA 知識、技術、能力 |
カテゴリーではProtect and Defend、Securely Provision、Operate and Maintainなど、7つの分類があります。これらのカテゴリーから更に細分化され、リスクマネジメントやインシデントレスポンスなどの「専門分野」、セキュリティ管理者やサイバーディフェンスアナリストなどの「役割」レベルまで分類されています。そして、その「役割」はどのような「業務」を担うのか、その「業務」を遂行するうえで、どのような「知識、技術、能力」が必要なのか、という流れで記載されています。
具体的には、以下のような形で記載されています。以下の表では抜粋した一部しか記載しておりませんがそれぞれを数えると、「専門分野」は33個、「役割」は52個定義されています。そしてその全てに対して、どのような業務があり、そこでどのようなKSAsが必要になるのか記載されています。
Categories | Specialty Area | Work Role | Tasks ID | KSAs ID |
---|---|---|---|---|
Securely Provision | Risk Management (RSK) | Authorizing Official/Designating Representative | T0145 T0221 T0371 T0495 |
K0001 ・・・ |
S0034 ・・・ |
||||
A0028 ・・・ |
||||
Security Control Assessor | ・・・ | ・・・ | ||
・・・ | ・・・ | ・・・ | ・・・ | |
Operate and Maintain | Network Services (NET) | Network Operations Specialist | T0035 T0065 ・・・ |
K0001 ・・・ |
S0004 ・・・ |
||||
A0052 ・・・ |
||||
・・・ | ・・・ | ・・・ | ・・・ | |
Oversee and Govern | Executive Cyber Leadership (EXL) | Executive Cyber Leadership | T0001 T0002 ・・・ |
K0001 ・・・ |
S0018 ・・・ |
||||
A0033 ・・・ |
||||
・・・ | ・・・ | ・・・ | ・・・ | |
Protect and Defend | Incident Response (CIR) | Cyber Defense Incident Responder | T0041 T0047 T0161 ・・・ |
K0001 ・・・ |
S0003 ・・・ |
||||
A0121 ・・・ |
||||
・・・ | ・・・ | ・・・ | ・・・ | |
Analyze | Threat Analysis (TWA) | Threat/Warning Analyst | T0569 T0583 T0584 ・・・ |
K0001 ・・・ |
S0194 ・・・ |
||||
A0013 ・・・ |
||||
・・・ | ・・・ | ・・・ | ・・・ | |
Collect and Operate | Cyber Operations (OPS) | Cyber Operator | T0566 T0567 T0598 ・・・ |
K0001 ・・・ |
S0062 ・・・ |
||||
A0095 ・・・ |
||||
・・・ | ・・・ | ・・・ | ・・・ | |
Investigate | Cyber Investigation (INV) | Cyber Crime Investigator | T0031 T0059 T0096 ・・・ |
K0001 ・・・ |
S0047 ・・・ |
||||
A0174 ・・・ |
||||
・・・ | ・・・ | ・・・ | ・・・ |
例えばSOCやCSIRT等でインシデントレスポンスの業務がありますが、NICEフレームワークでは以下のように定義されています。
【カテゴリー】
Protect and Defend
【専門分野】
Incident Response (CIR)
【役割】
Cyber Defense Incident Responder
そして上記の【表3】ではTasksとKSAsをIDで表記していますが、これはそれぞれがリスト形式で記載されているためです。そしてこれらのID一つ一つに紐づく内容を具体的に見てみると、以下のような形になっています。
Tasks ID | 内容 |
---|---|
T0047 | 脆弱性を特定し、迅速な修復を可能にするための提言を行う |
T0161 | 脅威の可能性を識別するため、様々な情報をもとにログファイルの解析を行う |
T0163 | インシデント発生時の優先順位付けを行う |
T0164 | サイバー攻撃の傾向分析やレポート作成を行う |
T0214 | ネットワークアラートを分析し、そのアラートの原因を調査・特定する |
KSAs ID | 内容 |
---|---|
K0001 | コンピュータネットワークの概念とプロトコル、およびネットワークセキュリティの知識 |
K0005 | サイバー脅威と脆弱性の知識 |
K0041 | インシデントカテゴリ、インシデントレスポンス、およびレスポンスのためのタイムラインの知識 |
S0080 | 攻撃を受けた際の影響度等を評価する技術 |
S0173 | セキュリティイベント相関ツールを扱う技術 |
A0121 | クラウドサービスモデルのインシデントレスポンスを設計する能力 |
A0128 | 侵入検知技術を使用して、ホストおよびネットワークベースの侵入を検出する能力 |
まとめ
NICEフレームワークが活用された事例で公開されているものはまだまだ少ないのが現状です。しかしながら、昨今セキュリティ人材の不足が広く叫ばれ、2019年からは、セキュリティ対策基準「SP800-171」相当の対策を求める、新防衛調達基準の試行導入が日本で始まります。こうした背景を考えれば、実質的にセキュリティ人材育成のグローバルスタンダードであり、SP800-171とも親和性が高いNICEフレームワークは、国内でも積極的に活用されていくことでしょう。
おすすめ記事
- 「IT人材白書2018」プレス発表 IPA
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- NIST SP800-171「Rev.3」を正式に発行 NIST
- デジタル人材育成には「実践の場」が必要、「デジタル人材育成モデル」(初版)を公開 IPA
- 「生成AI時代のDX推進に必要な人材・スキルの考え方2024」を公表 経産省
- NIST SP800-160 Vol 2, Rev.1「Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」(サイバーレジリエントなシステムの開発:システムセキュリティエンジニアリングアプローチ)
- デジタルガバナンス・コード「3.0」を発表、3つの視点・5つの柱として再整理 経産省