セキュリティフレームワークとは?
NISTの改訂内容・重要性を解説!

 2024.07.30  リアルテックジャパン株式会社

2024年2月、世界的に有名なセキュリティフレームワークである「NIST」の新バージョン2.0が公開されました。本記事では、セキュリティフレームワークとは何かという基本知識から、各コア機能の詳細、NIST CSFの2.0における改訂内容までを分かりやすく解説します。

セキュリティフレームワークとは? NISTの改訂内容・重要性を解説!

One Identity Manager 紹介資料

セキュリティフレームワークとは

セキュリティフレームワークとは、情報セキュリティまたはサイバーセキュリティを確保するために策定された指針や対策基準のことです。企業や組織がセキュリティ対策を体系的に行うための枠組みであり、指針に沿ってセキュリティ管理を行うことによって、一定の基準を満たせます。

REALTECH GRCセキュリティスターターパック
One Identity Manager 紹介資料

セキュリティフレームワークが重要な理由

セキュリティフレームワークは文字通り、セキュリティ対策に特化した指針・対策基準です。フレームワークに沿った対策の実施は、企業・組織の効率的かつ高品質なセキュリティ管理を可能にします。高効率・高品質なセキュリティ対策を講じることによって、取引先や顧客からの信頼も勝ち取れます。

特に昨今では、クラウド環境の普及やサイバー攻撃の巧妙化、内部不正リスクの増大などによって、「防御」のみに重点が置かれた従来型の対策では不十分であり、後述するNIST CSFのように、インシデントの検知や対応、復旧といった事後対応までをも含むセキュリティ対策の必要性が高まっています。セキュリティフレームワークが重要であることは、デジタル庁が2023(令和 5)年 3 月に公表した「政府情報システムにおけるサイバーセキュリティフレームワーク導入に関する技術レポート」でも「サイバーセキュリティフレームワークの必要性」として明記されています。

参照元:政府情報システムにおけるサイバーセキュリティフレームワーク導入に関する技術レポート

NIST CSFとは

セキュリティフレームワークのなかでも特に注目されているのが、アメリカ国立標準技術研究所(NIST:National Institute of Standards and Technology)が策定した「NIST CSF(NIST Cybersecurity Framework)」です。このフレームワークは、2014年に初版である1.0が公開されて以来、世界中の多くの国や組織で採用されており、サイバーセキュリティ対策の国際基準のひとつとなっています。

NIST CSFの特徴

NIST CSFはもともと、アメリカ国内の政府機関をはじめとした重要インフラを保護するために策定されたフレームワークですが、汎用性が高く、体系化されていることが特徴であり、先述の通り、多くの国や組織で採用されています。2024年2月には最新版である「NIST CSF 2.0」が公開され、さらに幅広い業種や規模の組織に対応しました。

NIST CSFはリスクに対する「防御」だけでなく、「検知」「対応」「復旧」といった、サイバーレジリエンス(Cyber resilience:サイバー攻撃による被害を最小限に抑え、迅速に回復する能力)を全体的に向上させるための対策が網羅されています。これにより、従来型にとどまらない、新型のサイバーセキュリティにも対応していることが特徴です。NIST CSF 2.0では、新たに「ガバナンス(統治)」の重要性が強調されており、昨今注目されている「IGA(Identity Governance and Administration:IDガバナンスとID管理)」の概念もカバーしています。

他のフレームワークとの違い

セキュリティフレームワークには、NIST CSF以外にもさまざまなものがあります。代表的なものとしては、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)、CIS Controls(Center for Internet Security Controls)、PCI DSS(Payment Card Industry Data Security Standard:支払カード産業データセキュリティ規格)といったものが挙げられます。それぞれの特徴は以下の通りです。

ISMS:業界を問わずに適用できるフレームワークだが、情報セキュリティ対策が中心
CIS Controls:幅広い業界で適用可能なフレームワークだが、サイバー攻撃対策が中心
PCI DSS:クレジット情報関連の対策に特化したフレームワーク

これらと比較したNIST CSFの特徴は汎用性の高さにあります。NIST CSFに沿った対策を実施することによって、特定の業界やリスクに限定されない、全般的なセキュリティレベルの向上を図れます。

NIST CSFの構成要素

NIST CSFは「コア(Core)」「ティア(Tier)」「プロファイル(Profile)」の三つの主要要素を中心に体系的に構成されています。コア、ティア、プロファイルを組み合わせることによって、組織は自身のセキュリティ状況と目標とが明確になり、より効果的な改善策を実施できるようになります。

コアとは、セキュリティ対策の中核となる要素のことです。具体的には「特定・識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」、さらにはNIST CSF 2.0で追加された「ガバナンス(Govern)」の6要素があります。これらのコア要素はさらに細かなカテゴリーやサブカテゴリーに分類され、具体的な対策が示されています。

ティアとは、組織のセキュリティ対策の成熟度を数値として示した4段階の評価基準です。現在の対策状況を数値化することで、組織は自身のセキュリティレベルを客観的に評価し、必要な改善点を特定できるようになります。

プロファイルは、組織の現在のセキュリティ状況(AsIs)と目標(ToBe)とを明確にするものです。明らかになった状況と目標とから、具体的な改善計画やロードマップを作成します。

NIST CSFのこれらの要素は、組織がセキュリティ対策を体系的に管理し、改善を継続して進めるためのフレームワークの構築を支援します。

NISTセキュリティフレームワークの機能

NIST CSFでは、ガバナンスを除いた、セキュリティ対策のコア機能を以下のように定義しています。

特定・識別

「特定・識別」の機能は「資産管理(Asset Management)」「リスクアセスメント(Risk Assessment)」「改善(Improvement)」の各カテゴリーに分類されています。組織が、サイバーセキュリティリスクを適切に管理するには、資産やリスクに関する情報を特定・識別する必要があります。この観点から、誰がどのシステムやデータにアクセスできるかを管理し、セキュリティポリシーに準拠してアクセス権限を割り当てたり、監視したりするIGAの重要性が特に高まっています。

防御

「防御」では、組織がセキュリティリスクを管理するための保護策をどのように実施すべきかが「意識向上とトレーニング(Awareness and Training)」「データセキュリティ(Data Security)」など、計5カテゴリーに分けて説明されています。ここで第一に挙げられているのが「ID管理・認証・アクセス制御(Identity Management, Authentication, and Access Control)」カテゴリーです。IGAツールの導入によって、IDの一元管理や多要素認証をはじめとした認証機能、ロールベースのアクセス制御などによって組織のセキュリティを強化することも可能です。

検知

「検知」は、セキュリティインシデントや異常なアクティビティをいち早く識別し、適切に対応するための機能です。「継続的モニタリング(Continuous Monitoring)」と「有害イベント分析(Adverse Event Analysis)」との2カテゴリーに記載されています。IGAツールを導入すれば、疑わしいアクティビティの検知・追跡やログ分析などによって、検知機能を強化できます。

対応

「対応」では、セキュリティインシデントが発生した際の組織の対応能力を定義しています。「インシデント管理(Incident Management)」「インシデント分析(Incident Analysis)」など、計4カテゴリーに分類されており、インシデント発生時の対応方法を、組織的なコミュニケーションも含めて解説しています。IGAツールに搭載されたアクティビティの検知・追跡機能は、発生したインシデントを迅速かつ正確に把握し、早期対応を実現するために効果的です。さらに、不審なユーザーのIDやアクセス権限を迅速に制限することが可能で、被害の拡大防止にもつながります。

復旧

「復旧」は、インシデントによる被害から回復するためのプロセスです。「インシデント復旧計画の実行(Incident Recovery Plan Execution)」「インシデント復旧コミュニケーション(Incident Recovery Communication)」の2カテゴリーで解説されています。IGAツールは、セキュリティ改善の提案機能やコンプライアンスなどに関するレポート機能を搭載しており、インシデントからの復旧や再発防止策の実施をサポートしてくれます。

NIST 2.0の改訂ポイント

NIST CSF 2.0では、適用範囲が拡大され、上述したように、コアに「ガバナンス(Govern)」が追加されました。さらにサプライチェーンリスクマネジメントの強化も図られています。

1. 正式名称と適用範囲の変更

初版のNIST CSF 1.0は上述した通り、主にアメリカの政府機関をはじめとする重要インフラの保護を目的としており、正式名称は「Flamework for Improving Critical Infrastructure Cybersecurity(重要インフラのサイバーセキュリティを向上させるためのフレームワーク)」でした。しかし、本フレームワークは国際的に有効性が認められ、さまざまな組織で採用されるに至りました。2024年2月に公開された2.0では、従来以上に幅広い組織に適用できるよう内容が改められ、名称も「NIST Cybersecurity Framework」に変更されました。

参照元:Flamework for Improving Critical Infrastructure Cybersecurity重要インフラのサイバーセキュリティを向上させるためのフレームワーク

2. 「ガバナンス(Governance)」機能の追加

前述の通り、NIST CSF 2.0では「ガバナンス」がセキュリティのコア機能として追加されました。ガバナンスは、そのほかの5つのコアを統合的に管理し、NIST CSFの根幹をなすものです。

3. サプライチェーンリスクマネジメントの強化

昨今では、セキュリティの脆弱なサプライチェーンを踏み台にして、本命のターゲットを攻撃する「サプライチェーン攻撃」が増えています。こうした状況を反映してNIST 2.0では、サプライチェーンリスクマネジメント(C-SCRM:Cybersecurity Supply Chain Risk Management)の重要性が新たに強調され、ガバナンスのサブカテゴリ―として配置されました。

NIST 2.0から分かるガバナンスの重要性

NIST CSF 2.0でコア機能に「ガバナンス」が追加されたのは、ガバナンスの管理がセキュリティ対策の要諦であることを強調するためです。コア機能全体のイメージを表現した概念モデルでも、ほかの5つの機能を繋ぐ車軸のような位置に置かれており、セキュリティ対策を適切に実施するうえで、組織全体での一貫したポリシーの策定と実行が欠かせないことを示しています。

ガバナンスを強化するためには、経営者層の積極的な関与が欠かせません。経営者層には、組織全体のセキュリティリスクの管理方針を示し、全社的に周知徹底することが求められます。昨今ではガバナンス強化の一環として、組織内のアカウントやアクセス権限を適切に管理する「IDガバナンス」という考え方が広まっており、IDガバナンスの実現手段としてIGAソリューションに注目が集まっています。

まとめ

NIST CSF 2.0では、セキュリティ対策のコア機能として新たに「ガバナンス」が追加され、一貫したセキュリティポリシーのもとで組織全体を統制する重要性が強調されています。ガバナンスを強化するには、第一に誰がどのデータやシステムにアクセスできるのか可視化し、各ユーザーに付与するアクセス権限は必要最小限にとどめる必要があります。IDガバナンスの強化には、IGAソリューションの導入をおすすめします。

SAP ID&アクセス管理ソリューション

ID統合管理とアクセス管理の連携により、ID及びリスク管理のコストを削減します。

SAP ID&アクセス管理ソリューション

詳細はこちら


RECENT POST「ID管理」の最新記事


ID管理

シングルサインオン (SSO) とは? 認証の仕組み、メリット・デメリットについて解説

ID管理

IDaaSとは? 機能や導入するメリット、IAMとの違いについて解説

ID管理

リスク管理とは? 危機管理との違いや必要性・対策の手法を紹介

ID管理

リスクマネジメントとは? 定義や目的、リスクの種類、プロセスについて解説

セキュリティフレームワークとは? NISTの改訂内容・重要性を解説!
New Call-to-action

RECENT POST 最新記事

RANKING人気記事ランキング

ブログ購読のお申込み