7-3-1. NIST サイバーセキュリティフレームワーク(CSF)の概要
サイバーセキュリティフレームワーク(CSF)の概要およびISMSとの関係性について説明します。
CSFは、NISTが作成したサイバー攻撃対策に重点を置いたフレームワークであり、防御にとどまらず、検知・対応・復旧といったインシデント対応が含まれています。
また、多様な企業に適用できるように要求事項が汎用的になっています。指示書やノウハウ集ではありません。CSFをどのように利用するかは、実施する組織に委ねられているため、CSFをしっかりと理解した上で、サイバーセキュリティ対策を検討することが大切です。
CSFの3つの構成要素(コア、ティア、プロファイル)
CSFは、組織がセキュリティ対策を継続的に改善するため、 ①コア(サイバーセキュリティ対策の一覧)、②ティア(対策状況を数値化するための成熟度評価基準)、③プロファイル(サイバーセキュリティ対策の現状とあるべき姿を記述するためのフレームワーク)の3つの要素で構成されています。
「コア」の概要
すべての重要インフラ分野に共通するサイバーセキュリティ対策、期待される成果、適用可能な参考情報を定義したもの。
「識別」「防御」「検知」「対応」「復旧」の5つの機能に分類される。各機能の下には複数のカテゴリが存在し、各カテゴリはそれぞれ複数のサブカテゴリを有する。
「ティア」の概要
組織におけるサイバーセキュリティリスクへの対応状況を評価する際の指標を定義したもの。
指標は4段階あり、次のとおり。 ① ティア1:部分的である ② ティア2:リスク情報を活用している ③ ティア3:繰り返し適用可能である ④ ティア4:適応している
「プロファイル」の概要
フレームワークのカテゴリ及びサブカテゴリに基づき、サイバーセキュリティリスクに対する期待される効果を現すもの。
- サイバーセキュリティリスクへの対応状況として、「あるべき姿」と「現在の姿」をまとめたもの。
- 「あるべき姿」の策定については、組織のビジネス上の要求、リスク許容度、割当可能なリソースに基づき、コアの機能、カテゴリ、サブカテゴリの到達地点を調整する。
(出典)デジタル庁 「政府情報システムにおける サイバーセキュリティフレームワーク導入に関する 技術レポート 」を基に作成