PR
全4569文字

サイバーセキュリティー管理には複数の国際規格がある。標準化された枠組みを参考にすれば、態勢を強化しやすくなる。三菱UFJフィナンシャル・グループ(MUFG)が活用する規格を紹介する。

 「しっかりとしたサイバーセキュリティー管理態勢を築くために具体的に何をすべきなのか」。世界中の様々な団体がこの課題に取り組み、体系的なフレームワークやガイドラインを発行しています。

 自社の組織やサービスを守るために何をすべきかを考え、改善を進めていく際に、こうしたフレームワークやガイドラインを活用すると近道をたどれます。

 また、フレームワークやガイドラインは広く社会的に標準化された枠組みですので、いわば「共通言語」としても機能します。例えば組織内外のステークホルダーと認識を共有したり協働したりするのに有効です。

「事前に防ぐ」だけでは不十分

 主なセキュリティー規格を紹介します。情報セキュリティーマネジメントシステム(ISMS)に関する国際規格が「ISO/IEC 27001」です。情報セキュリティー管理態勢を構築する際に、まず参照すべき規格と言えるでしょう。情報資産の機密性、完全性、可用性を維持するための管理策がまとまっています。

 ただし、ISO/IEC 27001は情報セキュリティー全般の組織的な管理をスコープにしていますが、「事前に防ぐ」タイプの平常時の管理策が中心です。このため、異常の検知やインシデント対応など、非常時の管理策については他のリファレンスを用意し、ISO/IEC 27001を補強する必要があります。

 ISO/IEC 27001と同様に、米国のSANS Instituteが発行する「CIS Critical Security Controls(旧SANS Top20)」も、非常時のインシデント対応や業務継続にかかる内容は限定的です。加えて、ガバナンスやリスク管理といった組織的な管理策に関してもスコープ外です。技術的なセキュリティー管理策のガイドラインとして大変参考になるのですが、それだけでは不十分です。

 近年のサイバーセキュリティー管理では、非常時の備えが求められています。サイバー攻撃は非常に高度化・巧妙化しており、完全に防ぎきることが不可能だからです。不審な兆候の検知、インシデント発生時の対応、業務継続や復旧といった、有事への備えや対応の重要性が増してきているわけです。

 こうした状況の変化を受け、非常時の管理策も含め、サイバーセキュリティーリスク管理にかかる必要項目の全体像を体系的にまとめたのが、米国国立標準技術研究所(NIST)が2014年2月に発行した「サイバーセキュリティーフレームワーク」です。

図 米国国立標準技術研究所(NIST)のサイバーセキュリティーフレームワーク
図 米国国立標準技術研究所(NIST)のサイバーセキュリティーフレームワーク
重要インフラのサイバーセキュリティーを改善
[画像のクリックで拡大表示]

技術や環境に依存しない柔軟性

 このフレームワークの正式名称は「Framework for Improving Critical Infrastructure Cybersecurity(重要インフラのサイバーセキュリティーを改善するためのフレームワーク)」です。NISTは米国の重要インフラ事業者のサイバーセキュリティーリスク管理を改善するために策定しました。しかし、どんな業界・組織でも利用できるようにデザインされています。

 ポイントは技術や環境が変わっても参照できる「フレームワーク」である点です。自組織のプロファイルや外部の脅威環境の変化に合わせて「何をやるべきか」を考え、管理策を具体化し、リスクベースで柔軟に適応し進化させていくための枠組みとして提供されています。

 前述の通り、ITは日々進歩し、攻撃側の能力も日々高度化しています。新しいデジタルチャネルやプラットフォームの開発や利用など、守るべき情報資産やサービスの範囲も拡大しています。一方、国家機関や犯罪組織など強力な攻撃者が台頭しており、攻撃基盤や機能の分業などが進んでいます。NISTのサイバーセキュリティーフレームワークより以前の、固定的なセキュリティー規範ではもはや太刀打ちできなくなってきていると言っても過言ではありません。

 NISTのサイバーセキュリティーフレームワークは「特定」「防御」「検知」「対応」「復旧」の5つの機能、23のカテゴリー、108項目のサブカテゴリーから成ります。

 「何をやるか」を俯瞰(ふかん)的に、また構造的に理解しやすい特性があります。当社はNISTのフレームワークをセキュリティープログラムの企画管理推進や社内の認識共有、啓発などに活用しています。

この記事は有料会員限定です

「日経コンピュータ」定期購読者もログインしてお読みいただけます。

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

有料会員と登録会員の違い