NIST サイバーセキュリティフレームワークとは？究極ガイド

米国国立標準技術研究所（NIST）は、企業、非営利団体、その他の民間部門の機関がサイバーセキュリティリスク管理を改善できるよう、組織が従うべきガイダンスとベストプラクティスを提供しています。NIST は米国商務省の一部であり、米国で最も歴史のある（物理）科学研究所のひとつです。

2013 年、当時の大統領は大統領令 13636 を発令し、次のように述べました。

「米国のポリシーは、国家の重要インフラのセキュリティとレジリエンスを強化し、安全性、セキュリティ、ビジネス上の機密性、プライバシー、市民的自由を促進しながら、効率性、イノベーション、経済的繁栄を促すサイバー環境を維持することである。」

この大統領令により、NIST がサイバーセキュリティフレームワークに適用した 一定の要件 が定められました。これには以下が含まれます。

• 重要インフラの各セクターに適用できるセキュリティ標準とガイドラインを特定する。

• 優先順位が明確で、柔軟性があり、反復可能で、成果に基づき、費用対効果の高いアプローチを提供する。

• 重要インフラの所有者と運用者がサイバーリスクを特定、評価、管理できるよう支援する。

• 技術革新を可能にし、組織ごとの違いを考慮する。

• 技術中立的なガイダンスを提供し、重要インフラセクターが製品やサービスの競争市場から恩恵を受けられるようにする。

• サイバーセキュリティフレームワークの実装状況を測定するためのガイダンスを含める。

• 特定のセクターや標準策定組織との今後の連携を通じて対処すべき改善領域を特定する。

なぜこれほど重要になったのでしょうか。

簡単に言えば、増大するサイバーセキュリティの脅威は、企業やその他の組織に日々影響を与えています。信頼できる唯一の情報源がなければ、企業がセキュリティリスクを軽減するための効果的な対策を実施できるよう、包括的で実効性のあるフレームワークを構築することはほぼ不可能です。だからこそ、NIST サイバーセキュリティフレームワークは企業にとって非常に重要になっています。セキュリティを維持するための効率的で革新的、かつレジリエンスの高いソリューションを促進するものだからです。

基本的に、NIST サイバーセキュリティフレームワークは、あらゆるタイプの組織がサイバーセキュリティリスクをより深く理解し、管理し、軽減するのに役立ちます。このガイダンスに従うことで、最終的にはネットワークとデータをより適切に保護できます。NIST サイバーセキュリティフレームワークは、どの企業や組織でも導入し、サイバーセキュリティ保護を向上させるために時間とリソースをどこに集中すべきかを理解できるように構成されています。つまり、企業が自社のデータ、顧客のデータ、ネットワーク、従業員をより効果的に保護できるようにすることを目的としています。

この NIST サイバーセキュリティフレームワーク は米国内の組織によって開発されたものですが、世界中での採用を想定して作成されました。そのため、多くの言語に翻訳され、世界中の政府、企業、組織に採用されています。

NISTサイバーセキュリティフレームワーク1.1以降、多くの組織や政府がこのフレームワークをうまく採用してきました。例：

• サウジアラムコ

• バミューダ政府

• イスラエル国家サイバー総局

• Cimpress-FAIR

• 複数州情報共有・分析センター

• カンザス大学医療センター

• ピッツバーグ大学

• ISACA

• 日本クロスセクター・フォーラム

• シカゴ大学

• ローワー・コロラド・リバー・オーソリティ

• Optic Cyber Solutions   

NISTサイバーセキュリティフレームワーク（CSF）の最新版は、小規模な学校や非営利団体から大企業まで、あらゆる対象者、業種、タイプ、規模の組織に向けて作られています。このフレームワークは、サイバーセキュリティの成熟度にかかわらず、どの組織でも提示されている情報からメリットを得られるよう設計されています。

NIST長官兼商務次官（標準技術担当）のローリー・E・ロカシオ氏によると：

「CSFは多くの組織にとって重要なツールであり、サイバーセキュリティ脅威の予測と対処を支援してきました… 以前のバージョンを基盤とするCSF 2.0は、単なる1つの文書ではありません。組織のサイバーセキュリティ上のニーズが変化し、能力が進化するにつれて、個別に、または組み合わせて、時間をかけてカスタマイズして利用できる一連のリソースなのです。」

NISTサイバーセキュリティフレームワークの最新版は、重要インフラに焦点を当てるだけでなく、あらゆる分野のすべての組織（あらゆる規模）を対象に含めています。

NISTサイバーセキュリティフレームワークが作成された際の目標は、政府、産業界、学術界の関係者との継続的な関与でした。このフレームワークを作成するため、NISTは全米でのアウトリーチやワークショップに加え、情報提供依頼（RFI）と意見募集（RFC）を活用しました。当初の目標は次の3つでした。

• 既存のサイバーセキュリティ標準、ガイドライン、フレームワーク、ベストプラクティスを特定する。

• 優先度の高いギャップを明確にする。

• それらのギャップに対処するための行動計画を策定する。

情報収集のためのコメント期間は2013年4月8日に終了し、NISTは情報提供依頼に対して270件を超える回答を受け取りました。NISTはそれらの回答をもとに、初回のサイバーセキュリティフレームワーク・ワークショップの議題を作成しました。このワークショップはワシントンDCで開催され、関心を集め、認知を高め、協調的な開発プロセスについて理解を深めることを目的としていました。ワークショップのトピックには、大統領令、開発の目標、フレームワーク開発に用いるプロセスの再確認が含まれていました。

2回目のワークショップは2013年5月29日から31日にかけてカーネギーメロン大学で開催され、初回RFIの分析に基づく議題で進められました。目的は、受け取った情報をさらに定義・明確化し、セキュリティに関する複数のトピックについて議論を促すことでした。このワークショップの終了後、NISTは収集した情報を分析し、要約を作成して各業界と共有しました。それらはサイバーセキュリティフレームワークの初期草案作成に活用されました。

NISTサイバーセキュリティフレームワークの最初の草案は、2013年7月2日に公開されました。

NISTは公開後、初版について議論し改善するためのワークショップを複数回開催しました。2014年2月12日、NISTサイバーセキュリティフレームワークのバージョン1.0が公開されました。

NISTサイバーセキュリティフレームワークは、ベストプラクティスの概要を示す複数のコア機能で構成されています。これらの機能は手順として捉えるものではなく、サイバーセキュリティリスクの動的な性質に対処するために用いるものです。

ガバナンス

この機能は、組織の使命とステークホルダーの期待を踏まえ、残りの機能に優先順位を付けるために組織が何をできるかを判断するのに役立つ成果を提供します。

識別

識別機能は、システム、資産、データ、能力に対するサイバーセキュリティリスクについて、組織としての理解を深める必要性を示します。この要素はビジネスに焦点を当て、リスク管理戦略と整合した形で取り組みの優先順位を付けられるようにします。

防御

この機能は、組織が資産を保護し、サイバーセキュリティイベントの発生可能性や、それによって生じる影響を防止または低減する能力を支援します。

検知

この機能により、サイバーセキュリティイベントが発生した、または発生することを示す異常、侵害の兆候、その他の有害なイベントを適時に発見し分析できます。

対応

この機能は、インシデント管理、分析、緩和、レポート、コミュニケーションを対象とし、サイバーセキュリティインシデントの影響を封じ込めるのに役立ちます。

復旧

この機能は、サイバーセキュリティインシデントの影響を軽減するとともに、復旧中に必要かつ適切なコミュニケーションを可能にするため、通常の業務運用を速やかに復旧することに重点を置いています。

これらの機能の究極の目標は、組織がサイバーセキュリティイベントにどのように備え、対応し、復旧するかについて、高レベルで戦略的な全体像を示すことです。

NISTサイバーセキュリティフレームワークが何を行い、どのように進化してきたかをしっかり理解したところで、どのように実装するのが最適か気になっていることでしょう。

NISTは、実装に向けて次のような7ステップのアプローチを推奨しています。

1. 優先順位付けとスコープ設定 - 保護する必要がある組織の目標と資産に優先順位を付けます。

2. 方向付け - スコープ内のプロセス、システム、コンポーネント、およびそれらが準拠すべき主要なコンプライアンス規制について、自分自身とチームが理解を深めます。

3. 現状プロファイルの作成 - フレームワークのどの統制成果がすでに組織内で達成されているかを示し、まだ統合が必要なもののリストを作成します。

4. リスク評価の実施 - 運用環境を分析し、サイバーセキュリティイベントが発生する可能性と、それらが及ぼし得る影響を判断します。

5. 目標プロファイルの作成- 望ましいサイバーセキュリティ成果を説明できるよう、サイバーセキュリティフレームワークのカテゴリとサブカテゴリの評価に重点を置きます。

6. ギャップの特定、分析、優先順位付け - 組織内に存在するサイバーセキュリティ上のギャップを特定します。この分析をもとに、それらのニーズに対応するための優先順位付き計画を作成できます。

7. アクションプランの実装 - 前のステップで見つかったすべての問題に対処するため、作成した計画を実行・実装します。

覚えておくべき点の一つは、このフレームワークは柔軟性に欠けるものではないということです。実際、このフレームワークには既存のセキュリティプロセスと統合できるだけの柔軟性があります。その仕組みは、上記の7つのステップの中で確認できるはずです。

NISTがフレームワーク導入の7ステップを示しているため、組織は、自分たちがどのリスクにさらされやすいか、それらのリスクに応じてどう計画すべきか、組織全体のコミュニケーションをどう改善し、コンプライアンスをどう強化するかについて、広範な概要を把握できます。組織の弱点とその緩和方法について学べることは、NISTフレームワークの重要なメリットの一つです。

米国連邦取引委員会によると、NISTフレームワークは「規模を問わず企業がサイバーセキュリティリスクをよりよく理解、管理、低減し、ネットワークとデータを保護するのに役立ちます」。

NISTは組織ごとに異なることを理解しており、パスワードを安全に保つための3つのヒント（これは普遍的に当てはまるものと考えるべきです）も提供しています。

NISTサイバーセキュリティフレームワークは複雑な場合があります。上記の7つのステップに進む前に、コア機能を十分に理解することが重要です。長期的な成功を確実にするには、組織内でサイバーセキュリティ文化を醸成することが不可欠です。そうしないと、プロセスやシステムの大幅な変更に対する抵抗に直面することになります。

その他の課題には、次のようなものがあります。

• リソースの制約 - 現時点では、こうした変更を実装できるスタッフがいない可能性があります。

• サイバーセキュリティフレームワークを組織により適合させるために、時間をかけてカスタマイズする必要がある可能性が高いです。

• 脅威は常に進化しているため、セキュリティ対策もそれに追随する必要があります。

• サイバーセキュリティフレームワークは、すでに導入している既存のプロセスと統合するとよいでしょう。

• こうした要求に対応できるサイバーセキュリティ文化の醸成に直結する、ステークホルダーの関与を促すことは難しい場合があります。

NISTの実装ティアには、次の4つがあります。

• ティア1部分的 - セキュリティ手順が場当たり的、またはまったく存在しない企業。

• ティア2リスク情報活用型 - 直面する脅威を認識し、いくつかのポリシーを導入しているものの、連携の取れた戦略が不足している企業。

• ティア3反復可能 - 経営陣の承認を受けたリスク管理とサイバーセキュリティのベストプラクティスを備えている企業。こうした企業は競合他社をベンチマークにすることが多く、実践内容の整合性を確保するために他の組織と連携することもあります。

• ティア4適応型 - 銀行や医療など、規制の厳しい業界に属し、広範なリスク認識の向上に日常的に貢献している企業。

NISTによると、サイバーセキュリティフレームワークプロファイルとは「機能、カテゴリー、サブカテゴリーを、組織のビジネス要件、リスク許容度、リソースと整合させたもの」です。これらのプロファイルは、組織がサイバーセキュリティリスクを低減するためのロードマップを策定するのに役立ちます。

NISTは、カスタマイズ可能なサイバーセキュリティフレームワークの組織プロファイルテンプレートに加え、利用可能なコミュニティプロファイルの一覧も提供しています。

NISTサイバーセキュリティフレームワークは、絶えず変化するサイバーセキュリティ環境と新たな脅威を反映した定期的な更新を前提とする「生きた文書」として設計されていることを念頭に置いてください。そのため、サイバーセキュリティフレームワークが現在のニーズに対応し、継続的に改善していけるよう、組織が最新の脅威を常に把握しておくことが重要です。

組織がNISTサイバーセキュリティフレームワークとともに進化できるようにするには、自社に最適なサイバーセキュリティ技術スタックの構築方法を検討するとよいでしょう。これにより、サイバーセキュリティフレームワークとともに進化できる最適なテクノロジーを活用できる体制を整えられます。

言うまでもなく、セキュリティは組織にとって最も重要な注力分野の一つになっています。堅牢なサイバーセキュリティリスク管理の実践がなければ、企業は現実に存在するさまざまな脅威の被害に遭う可能性があります。NISTサイバーセキュリティフレームワークに加え、慎重な計画とコミュニケーションの助けを借りることで、組織のセキュリティは大きく向上する可能性があります。NISTサイバーセキュリティフレームワークに徹底的に取り組み、7つのステップに従い、常に更新と進化に備えることで、組織はサイバーセキュリティリスクからより適切に保護されます。

今すぐ始める準備はできていますか？組織を順調にスタートさせるため、パスワード管理ソリューションの導入を検討しましょう。詳しくは、Bitwarden Businessプラン、営業へのお問い合わせ、プラン料金の比較をご覧ください。