ITIL NaviITガバナンス/運用管理のワンストップ情報コーナー

ガイドライン

重要インフラのサイバーセキュリティを向上させるためのフレームワーク

2015年11月24日

「重要インフラのサイバーセキュリティを向上させるためのフレームワーク(NISTフレームワーク)」は、2014年にアメリカ国立標準技術研究所(NIST)によって発行されました。サイバーセキュリティの効果的・効率的なリスク低減を実現するために、適切なサイバーセキュリティ管理の一つのあり方を示したものです。

なお、重要インフラとは、米国の重要産業を支えるシステムおよびこれに関連する資産を指します。重要産業として、具体的には化学業界、商業施設業界、通信業界等の16業界が指定されています。さらに、サイバーセキュリティとは、サイバー空間におけるデータや通信の安全性・信頼性を適切な手段を持って確保することを意味します。

ちなみに、このNISTフレームワークが発行された背景には、米国の国家安全保障と経済安全保障が重要インフラに依存していること、近年のサイバーセキュリティに係る重大事件が益々増加傾向にあること、などがあります。米国発のフレームワークではありますが、日本にも浸透しつつあります。事実、金融庁の平成27年7月付文書「金融分野におけるサイバーセキュリティ強化に向けた取組方針について」において記された、金融庁の金融機関に対する質問内容の構成としても利用されています。こうしたことからも、今後、日本国内においても注目度がますます高まるフレームワークの一つであり、企業のシステム部門の方にとって特に注目に値するものと言えるでしょう。

NISTフレームワークの構成

NISTフレームワークの考え方は、フレームワークコア(表1)に集約されています。このフレームワークコアには、サイバーセキュリティを組織が考える際に抑えるべきチェック項目が列挙されています。
表1:フレームワークコア
201601131134_1.png
※出典:「重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0版」(英和対訳版)

抑えるべきチェック項目は、フレームワークコアの中に、サイバー攻撃に対する対策の機能別に整理されています。機能は「特定」「防御」「検知」「対応」「復旧」の5つです。

具体的には、“最初に、組織としてサイバーセキュリティに関する方針を決定する”、“どのようなリスクがあるかを特定する”等の活動が「特定」です。「特定」という呼び名からは少々判りにくい印象を受けますが、この活動がNISTフレームワークを効果的に使用する上での基礎となります。つぎに、“リスクの多寡に応じて適切な予防策を講じる”活動が「防御」です。そして、“防御策を監視することで突破されそうになった(あるいはされた)ことをいち早く察知する”活動が「検知」です。実際に、“異常が検知され必要な暫定処置を講じる”活動が「対応」です。最後に、“恒久措置を施し元通りの状態に回復させる”活動が「復旧」です。

そして、これら抑えるべきチェック項目を、大分類・中分類という観点でまとめたものが、カテゴリー・サブカテゴリーにあたります(表2)。カテゴリーには、“資産管理”、“ビジネス環境”等、全部で22の項目が存在します。これらの各項目に対するサブカテゴリーには、“企業内の物理デバイスとシステムの一覧を作成している”等、全部で97の管理策が存在します。加えて、参考情報には、COBITやISO27001など広く知られるガイドラインや基準とどのように紐づくのかを示す情報が記載されています。
表2:機能、カテゴリー、サブカテゴリ―、参考情報(抜粋)
201601131134_1.jpg
※ 「重要インフラのサイバーセキュリティを向上させるためのフレームワーク 1.0版」(英和対訳版)を著者が編集

他のセキュリティに関する基準・ガイドラインとの違いに見る特徴

ISTフレームワークを他のセキュリティ等に関する基準やガイドラインと比較してみましょう。セキュリティや安全というキーワードに関する有名な基準やガイドラインには、金融情報システムセンター(FISC)から発行されている安全対策基準や、国際規格協会から発行されているISO27001などがあります。また、セキュリティの中の「対応」「復旧」という観点では、ISO27031やISO22301があります。

NISTフレームワークの各「機能」に対する、安全対策基準(FISC)、及びISO27001、ISO27301並びにISO22301の各規格の関連性を表3に示します。
NISTフレームワークと他の主要規格等との関連性
201601131134_2.jpg
表3により、4つの規格の中でも安全対策基準は比較的NISTフレームワークと関連性が強いといえます。また、NISTフレームワークの内容そのものは、決して特殊性の強いものではなく、従来の基準や規格で定められたもののなかから、特にサイバーセキュリティ対応に関係性が強いものが採用されていると言えるでしょう。

ISO27001との違いに見るNISTフレームワークの特徴

情報セキュリティマネジメントシステムの国際規格として最も著名なのがISO27001ですが、より詳細にこの規格との違いをみることで、NISTフレームワークの理解を深めてみましょう。

最大の違いは、対象範囲です。ISO27001が広範囲の情報資産、すなわち、電子データのみならず、紙や人の頭の中にある知識など組織にとって価値ある情報全てを対象としたセキュリティを対象としているのに対し、NISTフレームワークはあくまでもITシステムに関連する情報を保護するためのセキュリティに焦点を絞っています。言い替えますと、ISMSはやや浅く広く、NISTフレームワークは、やや狭く深く、といった特徴を持っていると言えるでしょう。

また、ISO27001には無い特徴として、NISTフレームワークでは、管理策の成熟度を考慮に入れることも想定しています。管理策の成熟度とは、管理策をどれくらいしっかりと導入・運用しているか、導入・運用の程度を4段階で表したもののことです。詳しくは「1.部分的である」「2.リスク情報を活用している」「3.繰り返し適用可能である」「4.適応している」の4つです。成熟度を考慮に入れることで、より組織に適した目標設定が促されることになります。

両者には他にも色々な違いがありますが、目的・範囲・具体性等を比較した結果を表4に示します。
 
ISO27001とNISTフレームワークの比較結果
201601131136_2.jpg
参考までに、ISO27001には存在しNISTフレームワークには存在しないものを巻末の表5に、NISTフレームワークには存在しISO27001には存在しないものを巻末の表6に示します。双方の違いをより厳密に把握する際にご利用ください。

NISTフレームワークの利用方法

NISTフレームワークは誰が使うと有益なのでしょうか。 NISTフレームワークは、組織の経営レベル、ビジネス/プロセスレベル(以下、マネージャーレベルと称す)、実施/運用レベル(以下、担当レベルと称す)が利用することを想定して作成されています。とりわけサイバーセキュリティの観点で、他の基準やガイドラインよりも、深掘りしているという特徴を持つものであることから、企業のシステム部門の方が、自分たちのITシステムのセキュリティの課題を特定し、対応方針を決める上で有益なものとなるでしょう。

具体的には、 NISTフレームワークを利用して“サイバーセキュリティ対応のあるべき姿”(プロファイル )を作成し、現状とあるべき姿のギャップを特定します。そのうえで、優先順位に従って対応していく、などの使い方があります。また、特定の組織の中だけで活用する以外にも、NISTフレームワークの傘のもとで、複数の組織と連携したサイバーセキュリティ強化を図る場合にも有用です。たとえば、製造業・卸業・運輸業など、サプライチェーンで繋がっている事業体が協力し、サイバーセキュリティの対応方法を検討することができます。また、オリンピックのような特別かつ大規模なイベントに向けて異なる業界や企業が横断的にサイバーセキュリティに取り組む際などに有力なフレームワークの一つと言えるでしょう。

【参考情報】
ISO27001には存在し、NISTフレームワークには存在しないもの
NISTフレームワークには存在し、ISO27001には存在しないもの

(文責:岩下 秀樹

おすすめ記事
関連サービス