Loading
ブログ

NIST CSF 2.0によるセキュリティ強化のための5つのステップ

このガイドは、NIST CSFを活用して制御システムのサイバーセキュリティの成熟度を高めるためのロードマップを提供します。
Data Center IT Specialist and System administrator Talk, Use Laptop Computer, Wearing Safety West. Server Cloud Farm Facility with Two Female Information Technology Engineers Doing Maintenance.

NISTは2024年にNISTサイバーセキュリティフレームワーク(CSF)バージョン2.0をリリースしました。オリジナルのNIST CSFは2014年初頭のリリース以来、大きな注目を集め、バージョン1.1では、企業がサイバーセキュリティ対策を継続的に向上させるための重要な新機能が追加されました。

バージョン2.0では、さらに一歩進み、サイバーセキュリティ活動の有効性の測定に重点を置いています。このバージョンには、以下の更新が含まれています。

  • リスク管理ガバナンスの成果を重視するガバナンス機能
  • サプライチェーンリスク管理とサイバーセキュリティ成果の測定に関するガイダンス
  • 整理されたプロファイルを作成するための新しいテンプレート
  • より広範な組織リスク管理との統合の改善

このガイドは、NIST CSFを活用して制御システムのサイバーセキュリティ成熟度を向上させるためのロードマップを提供します。

Nist-based Approach Framework

NIST CSF 2.0アップデートには、オペレーショナルリスク管理分野の担当者が検討すべき追加対策が組み込まれています。最新のNIST CSF機能をご紹介します。

NIST CSFフレームワーク2.0の機能

ガバナンス

NIST CSFフレームワークにおけるガバナンス機能は、サイバーセキュリティリスク管理戦略、期待値、およびポリシーの監視、伝達、確立に関わります。

  • 何をするのか: 組織が目標と利害関係者のニーズに基づき、優先すべきサイバーセキュリティ対策を決定できるよう支援します。
  • 重要な理由: サイバーセキュリティを組織のより広範なエンタープライズリスク管理(ERM)戦略に組み込むことは非常に重要です。

特定

特定機能は、現在のサイバーセキュリティのリスクを強調します。

  • 何をするのか: 組織が、残りの機能に影響を与えるポリシー、計画、手順全体にわたって脆弱性と改善の機会を理解するのに役立ちます。
  • 重要な理由: 組織の資産、サプライヤ、サイバーセキュリティリスクに関する知識は、ガバナンス機能で特定された取り組みの優先順位付けに役立ちます。

防御

防御機能は、安全対策を使用してサイバーセキュリティのリスクを管理します。

  • 何をするのか: 重要なインフラのセキュリティ、ID管理、ア​​クセス制御、および認証の成果に焦点を当てています。
  • 重要な理由: 特定され優先順位が付けられた資産を保護することで、サイバーセキュリティ攻撃の可能性と影響を低減できます。

検知

検知機能は、可能性のあるサイバーセキュリティ攻撃を検出し、分析します。

  • 何をするのか: 進行中のサイバー攻撃を示唆する侵害の兆候、有害事象、異常を特定し、調査します。
  • 重要な理由: 組織の対応と復旧の取り組みを成功に導き、サイバー攻撃による悪影響を軽減することができます。

対応

対応機能は、検出されたサイバーセキュリティインシデントに対してアクションを実行します。

  • 何をするのか: インシデントの管理、分析、軽減、報告、およびコミュニケーションの成果を提供します。
  • 重要な理由: サイバーセキュリティインシデントの影響を封じ込める能力をサポートします。

復旧

復旧機能は、影響を受けた操作と資産を復元します。

  • 何をするのか: 損害を修復し、サイバーセキュリティインシデントから学んだ教訓を特定し、将来のインシデントを減らすために計画を変更します。
  • 重要な理由: 組織がサイバーセキュリティインシデントの影響を最小限に抑え、より迅速に通常の状態に戻り、コンプライアンス要件を満たすことを支援します。
     

プロファイルとティア

NIST CSF 2.0は、組織がサイバーセキュリティの視点を理解し、改善できるよう、プロファイルと階層も統合しています。プロファイルは、組織が目指すサイバーセキュリティの状態を文書化し、組織が達成したい目標を明確に示します。これらは、ガバナンス、特定、防御、検知、対応、復旧という7つの機能に分類されます。また、組織の使命、リスク、利害関係者の期待も組み込まれています。

chart showing maturity journey across the NIST cybersecurity framework

ティア(階層)は、組織のサイバーセキュリティリスク管理プラクティスの成熟度を示し、組織の現状を把握し、改善の機会を特定します。ティアは、ティア1 (部分的)からティア4 (適応的)まであります。ティアは、次のような方法でプロファイル作成に役立ちます。

  • 組織のリスク管理方法に関するコンテキストを提供する。
  • 各機能における目標成果を達成するためのアクションの優先順位付けを支援する。

NIST CSF導入における一般的な課題

NIST CSFを組織に導入する場合、導入フェーズにおいて以下のような課題が生じる可能性があります。

  • 有資格者、資金、時間などのリソースの制約
  • 既存のサイバーセキュリティ基盤や専門知識の不足
  • 変更に抵抗するスタッフ
  • 最新のサイバー脅威への対応
  • 継続的な監視と更新のための時間確保

組織の成功とNIST CSF成熟度達成を支援するために、以下の5つのステップをお読みください。

NIST CSFでセキュリティ成熟度を高める5つのステップ

ステップ1: 迅速な評価

NIST CSFに準拠するための最初のステップは、現状を堅牢かつ迅速に評価することです。評価を加速させる鍵は、組織全体で60~90日以内に迅速な評価を実施することです。この迅速な評価プロセスは、初期の成熟度ロードマップを作成し、企業の前進を支援するのに十分な詳細情報を提供するのに役立ちます。すべての脅威の経路やエンドポイントの脆弱性を診断することを目的としたものではありません。

迅速な評価では、人材、プロセス、ポリシー、テクノロジに関するサイバーセキュリティのベースラインに関する情報を提供する必要があります。通常、以下の項目が含まれます。

  • 成熟度に応じて企業が設定する「プロファイル」またはレベルについて合意する。
  • 定量調査結果を補完するために、組織内の主要担当者への簡単なアンケート(50問未満)と、ターゲットを絞ったインタビューを実施する。
  • 重要なサプライヤ、アクセスレベル、およびセキュリティ対策を特定するためのサプライチェーンリスク管理(SCRM)評価。簡単なアンケートやサプライヤの認証を通じて実施できます。
  • パッチ、構成、ユーザ、ネットワーク、その他の脆弱性を評価するために、システムからエンドポイントとネットワークの情報を直接収集する。
  • 多層防御やCISトップ18のコントロールなどの標準フレームワークに基づいて、リスクの優先順位を設定する。
     

ステップ2: 目標成熟度ロードマップ

OT cybersecurity roadmap with layered defenses evolving over time in the NIST cybersecurity framework

評価は基本的な出発点となりますが、その後の重要なステップは、具体的なビジネスニーズや規制要件などに基づいて、企業のサイバーセキュリティ成熟度目標を明確にし、プロセス開発、テクノロジ導入、トレーニング、意識向上といった一連の取り組みに基づく堅牢なロードマップを構築することです。

効果的なロードマップを作成するには、以下の点を考慮する必要があります。

  • リスク管理戦略との整合性: ロードマップは、組織全体のリスク管理戦略を直接的にサポートし、各取り組みがリスクプロファイルの低減にどのように貢献するかを明確に示す必要があります。
  • 取り組み/基盤要素の順序: 特定の取り組みは、他の取り組みの前提条件となります。例えば、ハードウェアとソフトウェア(OS、ファームウェア、アプリケーションソフトウェア、構成、ポート、サービスなど)の完全かつ詳細なインベントリは、構成やその他の多くのCSFカテゴリを強化するための要件です。
  • ビジネスニーズ、リスク、予算に基づく優先順位付け: 評価に基づき、ビジネスオペレーションへの最大の脅威となる特定の取り組みの優先順位が上がります。評価は、組織にとって最大のリスクを優先順位付けするために必要な中核的な情報を提供する必要があります。当然のことながら、これは全体的な予算制約とのバランスを取る必要があります。
  • 測定と追跡: あらゆる防御策や検知策と並行して、組織は進捗状況を追跡・測定できる必要があります。
  • テクノロジ、人材、プロセスの統合: テクノロジを導入しても、それを支える人材やプロセスがなければ、投資が無駄になってしまいます。同様に、テクノロジがなければ、企業が策定する手順は煩雑になりすぎて、サイバーセキュリティの状況に関する十分な洞察が得られない可能性があります。
  • 統合プラットフォーム(または「接着剤」): 時間の経過とともに、イニシアチブ、テクノロジ、および手順の数は増加します。これらを結び付ける包括的なプラットフォーム、つまり接着剤への投資を慎重に検討しなければ、プログラムは手に負えないものになる可能性があります。

言い換えれば、イニシアチブのポートフォリオを構築する必要性は、複数の個別のプロジェクトと予算を通じて、周期的に実行されます。その目的は、成熟サイクルに示されているように、基本レベルの保護からより高度なレベルへと移行し、最終的にはリアクティブ(事後対応型)からプロアクティブな(何かが起こる前に問題を認識するための)監視と検知へと移行することです。

Security monitoring maturity curve advancing from basic to proactive defense.

成熟サイクル

成熟サイクルは、より堅牢なセキュリティプログラムに向けた一般的なパターンに過ぎないことに注意する必要があります。具体的なタスク、実行順序、そして展開期間は、個々の組織特有のリスクと目標に結び付ける必要があります。

ステップ3: 基礎的な取り組みを実行する

前述の通り、すべてのプログラムには、より広範なプログラムを実現するために必要な一連の基礎的な取り組みが必要です。これらの取り組みは、セキュリティに迅速な効果をもたらすと同時に、ベースライン機能も提供する必要があります。

この最初の「波」となる取り組みは、進捗状況を示すとともに、追加要素への迅速な移行を可能にするために、90日以内に達成できる項目である必要があります。これらの取り組みには、「情報提供」または「ベースライン設定」の取り組みと、「修復」または「強化」活動の最初の波の両方が含まれます。ベースライン設定型の活動には、ハードウェアおよびソフトウェアのインベントリ、構成ベースライン、ファイアウォールルールマップなどが含まれます。修復型の活動には、ソフトウェアの削除、ベースラインの強化、または初期セグメンテーションが含まれる可能性があります。

これらの取り組みは通常、「企業レベル」と「サイトレベル」の要素から構成されます。地理的に分散した組織では、「サイトレベル」の要素については、さまざまな地域を代表する約3~5か所のパイロットサイトに焦点を当てます。これらのサイトでは基礎的な取り組みが展開され、時間の経過とともに成熟度を高める取り組みにおいて、他をリードする「先導役」として機能します。

この最初の実行フェーズには、いくつかの重要な要素が含まれる可能性があります。

  • 機密データやパスワード標準に関するポリシー、変更管理やパッチ適用などの手順、中央レポート機能などのテクノロジといった中核コンポーネント
  • 資産インベントリ、構成ベースライン、ネットワーク設計/セグメンテーションレビューといったサイトレベルのコンポーネント
  • 特定の資産に適用しない制御、リスクと報酬、または費用と便益のトレードオフに関する意思決定、PLCや旧式のHMIなどのデバイスが制御基準を満たせず、何らかの代替制御が必要となる「技術的実現可能性の例外」に関するルールなど、重要な意思決定ポイントを確立する。

基盤となる取り組みは、以下の方法でサプライチェーンリスク管理(SCRM)の取り組みを強化できます。

  • 脆弱性スキャンやコードレビューなどのセキュアなソフトウェア開発プラクティスを実施し、サードパーティからシステムに脆弱性が持ち込まれるリスクを軽減する。
  • ベンダーにソフトウェア部品表((SBOM)の作成を義務付け、ソフトウェア内のコンポーネントの可視性を確保する。これにより、サードパーティからの脆弱性を迅速に特定し、対処することができる。
  • 組織およびベンダーシステムの構成ベースラインを設定し、サードパーティシステムがセキュリティ要件を満たしていることを確認する。
  • 定期的なスキャンとパッチ適用により、全体的なセキュリティを強化し、脅威アクターの侵入経路を削減する。
  • サードパーティベンダーに起因するサイバーインシデントに対処するため、サプライチェーンをインシデント対応計画に統合する。

ステップ4: 基盤上に構築

バージョン1.1では、ほとんどの組織が実績のあるツールセットを他の拠点にも展開し、セキュリティツールと手順の設計、テスト、導入の第2フェーズまたは第3フェーズに着手し、充実した多層セキュリティプログラムの構築を目指しました。

NIST CSF 2.0を導入する組織は、おそらく洗練、深化、そして成熟の段階にあるでしょう。追加のプロセスとテクノロジを用いてセキュリティプログラムを拡張していく際には、以下の点に注意してください。

  • 可能な限り、定型業務を自動化する。
  • プロセス改善のための反復作業と最適化を継続する。
  • 新しいインフラのための包括的な統合フレームワークを維持する。
  • 従業員が最新のトレーニングを受講していることを確認する。
  • リスクとビジネスニーズに基づいて、優先順位を定期的に更新する。

ステップ5: 監視、測定、そして改善

Bar chart showing initial vs improve maturity in OT across the NIST cybersecurity framework

NIST CSF 2.0の導入を成功させるには、堅牢な監視・測定プログラムが不可欠です。管理におけるあらゆる要素と同様に、進捗状況の検査と追跡は改善に不可欠です。

企業は、ステップ1~4を完了するまで、これらの測定と追跡の要素を忘れがちです。継続的な監視と測定のためのリソース、ツール、予算は事前に検討しておく必要があります。測定によってステータスレポートが提供され、取り組みの実行中に軌道修正が可能になります。ロードマップは時間の経過とともに進化していくため、その進捗状況と課題を測定することは、インテリジェントな進化にとって不可欠です。

指標とダッシュボードを活用することで、プログラムのステータスと主要目標に対するパフォーマンスを視覚的に把握しやすくなります。すべての指標はロードマップの成果と整合し、NIST CSF 2.0の各機能に結び付けられている必要があります。ダッシュボードは、主要な関係者が理解しやすく、概要を把握できるものでなければなりません。

測定​​の取り組みはガバナンス機能と密接に関連しています。なぜなら、ガバナンス機能は組織の目標との整合性を保ち、データに基づく意思決定を推進することが重要であるからです。測定結果に基づいて、進捗状況を評価したり、改善領域を特定したり、優先度の高いリスクを監視したりすることができます。

まとめ

サイバーセキュリティの成熟度は、目的地ではなく、旅のようなものです。プログラムを成功させる鍵は、新たなリスクが特定され、新たなソリューションが開発されるにつれて、成熟度を継続的に向上させていく能力です。上記のロードマップは、常に更新される文書であるべきです。情報とツールを統合する基盤要素と「接着剤」は、成熟度を時間とともに向上させる役割を果たします。

NISTフレームワークが脅威の特定から復旧までどのように役立つかについて、6部構成のウェビナーシリーズをご覧ください。

公開 2025年6月11日

トピック: Build Resilience

お客様へのご提案

Loading
Loading
Loading
Loading