米国立標準技術研究所(NIST)は、重要インフラ事業者(ダムや電力会社など)が自主的な基準に従ってサイバー防御を向上させるのを支援するため、2014年に最初のNISTサイバーセキュリティフレームワーク(NIST CSF)を開発しました。
しかし、2014年以降、サイバーセキュリティ脅威の状況は大きく変化しました。そこでNISTは2024年3月に、あらゆる業界の組織向けに制御とサイバーセキュリティのヒントを推奨する「サイバーセキュリティフレームワーク2.0」を公開しました。
改訂版のNIST CSF 2.0は、あらゆるタイプの組織とサプライチェーンのサイバーリスクに対処するために、その範囲を拡大しています。この改訂は、さまざまなセクターのあらゆる規模の企業を標的とするサイバー脅威が進化を遂げながら増加している状況に対応したものです。
これは大きな進展であり、サイバー脅威が今や至る所に存在し、経済のあらゆる部分を脅かしているという現実を反映しています。そして、すべての組織はNISTの拡張された要件に従うことが賢明です。実際、NIST CSF 2.0のフレームワークは、誰もがサイバーセキュリティを真剣に受け止める必要があるという中核的な概念を実証するものです。
NIST CSF 2.0の準拠が必須のセクターもありますが、その他の多くのセクターでは任意です。自主的なポリシーの導入を躊躇する組織もあるかもしれません。しかし、デジタルビジネスの不安定な状況を考えると、準拠に取り組む努力には価値があります。
NIST CSF 2.0が企業にとって重要な理由
NIST CSF 2.0のフレームワークは、組織が現在使用しているリスク管理プロセスを補完するよう設計されたもので、柔軟なリスクベースのアプローチを提供しています。
NIST CSF 2.0を導入することで、企業はサイバーセキュリティプロセスの改善が必要な分野を特定することができます。このフレームワークは、組織が現在の慣行を評価し、目標を設定し、改善計画を作成し、サイバーセキュリティ目標に向けた進捗を測定するのを支援します。
NIST CSF 2.0はさらに、組織固有のニーズ、脆弱性、リソースに合わせて調整したサイバーセキュリティのベストプラクティスの実装を促進します。さまざまなソースからの標準とガイドラインを調和させ、組織が異なるサイバーセキュリティの標準や規制から得たベストプラクティスを活用できるようにします。
NISTを遵守するメリット
NIST CSF 2.0を遵守することで、企業はいくつかのメリットを得ることができます。
リスク管理の改善:このフレームワークは、組織がサイバーセキュリティリスクをよりよく理解、管理、軽減するのに役立ちます。
規制コンプライアンス:NIST CSF 2.0を導入することで、組織はさまざまなサイバーセキュリティ規制や業界基準を遵守することができます。
競争上の優位性:NIST CSF 2.0に準拠した堅牢なサイバーセキュリティ体制は、顧客の信頼を高め、企業に競争上の優位性をもたらします。
コスト削減:サイバーセキュリティ対策の改善を通じてサイバーインシデントを防止・軽減することで、組織はコストを大幅に削減できます。
NIST CSF 2.0の新機能とは?
NISTサイバーセキュリティフレームワーク(CSF)2.0では、業界、政府機関、その他の組織がサイバーセキュリティリスクを効果的に管理できるよう、より広範で包括的なガイダンスを提供するために、いくつかの重要な更新が行われています。CSF 2.0の主な機能強化の1つは、普遍的に適用できるように設計された、高レベルのサイバーセキュリティ成果に関する洗練された分類法です。これにより、あらゆる規模、セクター、成熟度レベルの組織が、サイバーセキュリティへの取り組みをよりよく理解、評価、優先順位付け、伝達するために活用できる、より柔軟なアプローチが可能になります。
NIST CSF 2.0は、新たなテクノロジーや脅威に対応するために拡張された「コア」、組織のサイバーセキュリティの成熟度を促進させるためのきめ細かなガイダンスを提供する洗練された「導入ティア」、特定の組織のニーズや目的に合わせてフレームワークの適用をカスタマイズするのに役立つ強化された「プロファイル」で構成されています。また、今日の急速に進化するサイバー環境においてCSF 2.0のフレームワークが適切で役立つものであり続けることを確認するために、ステークホルダーからの広範なフィードバックにも対応しています。
NISTはさらに、多様な運用環境での採用と適用を促進するために、ツールやガイドなどの補足的なリソースをCSF 2.0と並行して導入しています。これらのリソースは、サイバーセキュリティの実践における包括性と適応性に焦点を当て、幅広いユーザーのためにフレームワークのアクセシビリティとユーザビリティを向上させる包括的な取り組みを示しています。
要約すると、CSF 2.0は、デジタルセキュリティに関する広範な考慮事項を組み込むことで、その前身の強固な基盤の上に構築され、さまざまな組織のニーズに適応できる、サイバーセキュリティリスクを管理するための構造化されつつも柔軟なアプローチを提示しています。NISTは、普遍的な適用性に焦点を当て、実用的なリソースを提供することで、組織が動的な脅威環境に直面してもサイバーセキュリティ体制を効果的に向上させるよう支援しています。
欧州連合の「NIS2指令」との比較
欧州連合のNIS2(ネットワークおよび情報セキュリティ2)指令は、EU加盟国全体のサイバーセキュリティのレジリエンスを強化することを目的としています。NIS2は規制上の指令ですが、サイバーセキュリティに対するリスクベースのアプローチを促進し、ベストプラクティスの採用を奨励するという点で、NIST CSF 2.0といくつかの類似点を持っています。
ただし、NIST CSF 2.0は自主的なフレームワークであるのに対し、NIS2はEU内で事業を行う組織に特定のサイバーセキュリティ要件と義務を課しています。組織がEUで事業を営み、米国で事業または顧客を有する場合、NIST CSF 2.0とNIS2の両方を遵守する必要が生じる可能性があります。
NISTサイバーセキュリティフレームワークの構成要素
NISTサイバーセキュリティフレームワーク2.0は、フレームワークコア、導入ティア、プロファイルの3つの主要な要素で構成されています。それぞれの要素は、組織が独自の課題やニーズに合わせて堅牢なサイバーセキュリティ体制を構築する上で、極めて重要な役割を果たします。
フレームワークコア
フレームワークコアは、本質的にNIST CSFのバックボーンであり、サイバーセキュリティの活動、成果、情報参照の集合体で構成されています。さまざまなセクターで普遍的に適用できるように設計されたコアは、サイバーセキュリティリスクに対処し、管理するための標準化された文言と方法論を提供しています。フレームワークコアには5つの機能領域があります。
特定:システム、人材、資産、データ、能力に対するサイバーセキュリティリスクについて組織的な理解を深める。
防御:重要なサービスの提供を確保し、サイバーセキュリティの脅威から保護するために、適切な安全対策を導入する。
検知:サイバーセキュリティイベントの発生を特定するために、適切な活動を実施する。
対応:検知されたサイバーセキュリティインシデントに対して行動を起こすために、適切な活動を実施する。
復旧:レジリエンス計画を管理し、サイバーセキュリティインシデントによって損なわれた機能やサービスを復旧するために、適切な活動を実施する。
これらの領域は、組織がデジタル環境を理解し、インフラストラクチャを保護し、異常を検出し、インシデントに対応し、そこから復旧するというニーズの全範囲をカバーしています。こうした機能全体にわたる詳細なガイダンスを提供することで、フレームワークコアは、組織が包括的で適応性のあるサイバーセキュリティ戦略を確立することを可能にします。
導入ティア
導入ティアは、組織が現行のサイバーセキュリティ対策を評価し、望ましい将来の状態へと導くのに役立ちます。 導入ティアにはティア1(部分的に実施)からティア4(適応している)まであり、初歩的で事後対応的なアプローチから、高度で事前対応的なアプローチまで、組織のリスク管理慣行の進展を反映しています。
ティア1は、組織のサイバーセキュリティ対策が非公式であり、リスク管理体制に完全には統合されていないことを示しています。逆に、ティア4は、組織のサイバーセキュリティ対策が非常に高度であり、サイバーセキュリティリスクに対処するためのリアルタイムの継続的な改善プロセスが導入されていることを意味します。導入ティアは、リソースの割り当て、サイバーセキュリティ対策の優先順位付け、リスク管理慣行の強化に関する情報に基づいた意思決定を促進します。
プロファイル
プロファイルは、本質的にNIST CSF内のカスタマイズツールであり、組織がサイバーセキュリティ対策を特定の要件、リスク許容度、目的と整合させることを可能にします。
組織はまず、既存のサイバーセキュリティ体制の概要を示す「現状」プロファイルと、望ましい状態を表す「目標」プロファイルを作成することから始めます。これらのプロファイルを比較することにより、ギャップを特定し、優先順位を付けたアクションプランを策定することができます。プロファイルを使用すると、組織はフレームワークコアで提供される広範なガイダンスを独自の状況に直接適用することができ、サイバーセキュリティのレジリエンスを向上させるための戦略的アプローチが容易になります。
まとめると、NISTサイバーセキュリティフレームワーク2.0の3つのコンポーネントは連携して機能し、サイバーセキュリティに対するスケーラブルで柔軟なアプローチを提供します。「フレームワークコア」は達成すべき活動と成果の包括的なセットを提供し、「導入ティア」は組織がサイバーセキュリティ対策の成熟度を評価・計画するのに役立ち、「プロファイル」は組織の特定のニーズに合わせてフレームワークをパーソナライズして適用することを可能にし、それによってNIST CSF 2.0の実装を成功に導きます。
NISTフレームワークによるサイバーセキュリティリスク管理プログラムの確立
NISTサイバーセキュリティフレームワークを使用して効果的なサイバーセキュリティリスク管理プログラムを確立するには、次の手順に従う必要があります。
優先順位の定義:サイバーセキュリティの目標を組織のビジネス目標およびリスク管理戦略と整合させます。
リスク評価の実施:組織の資産、データ、運用におけるサイバーセキュリティリスクを特定し、優先順位を付けます。
現状プロファイルの作成:NISTフレームワークコアに対して組織の現行のサイバーセキュリティ対策を評価します。
目標プロファイルの設定:組織のリスク許容度と優先順位に基づいて、望ましいサイバーセキュリティの成果と慣行を定義します。
アクションプランの実施:NISTフレームワークのガイダンスを活用して、現状プロファイルと目標プロファイルの間のギャップに対処するためのアクションプランを策定し、実行します。
継続的な改善:進化する脅威やビジネスニーズに適応するために、組織のサイバーセキュリティ対策、リスク評価、およびプロファイルを定期的に見直し、更新します。
NISTとRubrik:サイバーセキュリティのベストプラクティスをサポート
Rubrikは、こうしたサイバーセキュリティの推奨事項を、特にデータ保護とサイバーレジリエンスの領域で、実行に移すのに役立ちます。Rubrikはこの問題に関する専門知識を有しており、Rubrikの専門家たちは新しいフレームワークの初期草案をレビューし、フィードバックを提供しました。このフィードバックは最終版に組み込まれています。
Rubrikは、どのデータが影響を受け、どこに存在するかを明確に把握できるようにすることで、組織が攻撃の範囲とビジネスへの影響を判断できるように支援します。また、Rubrikの豊富なレポート機能は、IT/セキュリティ管理者が経営幹部と協力して、顧客、一般市民、政府、法執行機関、その他の規制機関に報告することを可能にしています。
Rubrikの「機密データ検出・監視機能」は、バックアップのスナップショットをスキャンし、ファイルやアプリケーション内の機密データを特定します。さらに、Rubrikの「ユーザーアクセス分析ツール」は、組織が機密データにアクセスできる者を把握し、データオーナーの支援を得て、データスチュワードシップを促進するのに役立ちます。
Rubrikは「書き換え不可のバックアップ機能」を提供しており、ランサムウェア攻撃者やその他の不正な第三者が変更できないようにしています。Rubrik Cloud Vaultは、アクセス制御と論理的「エアギャップ」機能を備えており、保管中のデータを保護します。さらに、Rubrikゼロトラストデータセキュリティアーキテクチャの一部であるRubrikのセキュアなデータレイヤーは、保管中のデータの暗号化、チェックサムの作成、データのライフサイクル全体にわたる検証によって制御を支援します。セキュアなデータレイヤーはまた、フォールトトレランスを備えた自己修復設計により、データを継続的に利用可能な状態に保ちます。
Rubrikは、厳しいバックアップと復元の要件にも対応できる中核的なエンタープライズデータ保護ソリューションを提供しています。Rubrik Security Cloudでは、体系的なアプリケーション復旧により、ユーザーは攻撃に備えて事前に復旧計画を作成し、テストすることができます。これにより、IT部門は関連する複数の仮想マシンを単一の復元オブジェクトにグループ化できるため、復旧計画は優先順位に従って事業運営をオンラインに戻すことができます。そうすることで、復旧チームは中核的な事業機能を復旧するためにどれだけの作業(および時間)が必要になるかを把握できます。
NISTサイバーセキュリティフレームワーク2.0を導入することで、組織はサイバーセキュリティ体制を強化し、リスク管理慣行を改善し、進化するサイバー脅威から重要な資産とデータをより良く保護することができます。