NISTサイバーセキュリティフレームワーク 2.0を紐解く

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第31回目となる今回は、「NISTサイバーセキュリティフレームワーク 2.0を紐解く」と題して、米国国立標準技術研究所 (NIST) のNISTサイバーセキュリティフレームワーク (CSF) 2.0を自社組織に実装する方法と、Varonisがどのように役立つのかをご紹介する、Shawn Haysのブログ記事をご紹介いたします。

米国国立標準技術研究所 (NIST) は、情報セキュリティを強化し、ネットワークとデータを保護するためのガイダンスとベストプラクティスを組織に提供しています。

2014年（Pharellの「Happy」とアイスバケツチャレンジと同じ年）に最初に発表されたこのフレームワークは、あらゆる規模の組織がサイバーセキュリティリスクを把握、管理、軽減できるようにすることを目的としています。10年後の2024年2月、サイバーセキュリティコミュニティに、広く採用されているこのフレームワークの第2版がもたらされました。

NIST CSFの当初の精神に変わりはありませんが、今日の進化する脅威の状況とクラウド技術の広範な普及は、NISTがフレームワークの単独改訂版 (1.1) をリリースした2018年当時とは異なる課題を提示しています。

ほとんどの組織では、何十ものクラウドベースのプラットフォームやSaaSアプリケーションを使用しており、それぞれに独自のサイロ化された認証方式、管理制御、構成があります。

さらに、機密性の高いデータは、その在り処を適切に可視化されないまま、これらの複数の情報システムにわたって広がって分散しています。お客様は、このフレームワークをクラウドソリューションに適用して、これらの課題に対処しようとしています。

NIST CSFのもう一つの応用分野は、ChatGPT for Enterprise、Salesforce’s Einstein CopilotおよびAgentforce、Copilot for Microsoft 365のようなAI生産性ツールです。NISTは、Copilotのような新技術を配備する組織を支援するため、1.0にもともとあった5つの機能に加え、コア機能として「統治」を追加しました。

他のSaaSアプリケーションとは異なり、AIソリューションには独自のリスクプロファイルがあり、統治機能の重要性を高めています。統治機能は、特に、組織が技術に関する方針、リスク、マネジメント戦略、監視のベースラインを設定することを支援します。

この記事では、この追加された機能やフレームワークの主要な側面など、その他の更新店を検証し、検討すべき新たな戦略を探り、更新されたフレームワークの組織内での実装を始める方法について議論します。

NISTサイバーセキュリティフレームワークを使用することによる組織のメリット

NIST CSF 2.0は、他のNISTフレームワーク、関連する米国内規格や国際規格、およびNISTの徐放提供養成期間中に収集された情報による、ガイダンスと原則で構成されています。

組織が、このフレームワークとそのベストプラクティスから得られるメリットは、以下のようなものです：

• カバー範囲の広さ：このフレームワークは防止にとどまらず、脅威を予測、検出、無力化するための実践的な手段を提供します。NIST CSF 2.0はサイバーセキュリティ部門が手続きを文書化し、投資ニーズを特定するのに役立ちます。
• 柔軟性：このフレームワークは、規模にかかわらず、すべての組織を対象としています。また、これまでの投資や取り組みに応じて、あらゆる業界や成熟度レベルに適応することができます。
• 将来への備え：新しい技術、新たな脅威、革新的な防御戦略の急速な進歩に対して、完全に将来を保証したり完全に回復力を持つフレームワークというものは存在しませんが、NISTはバージョン2.0を最新のAIやプライバシーの動向に対応できるように設計しています。

NIST CSF 2.0の構成要素

CSFのコア機能

NIST CSFのコア機能は、6つの機能、22項目のカテゴリー、106項目のサブカテゴリー（うち2項目はNIST CSF 1.1から新たに追加）からなる階層構造になっています。すべてのサブカテゴリーは、リスクを管理し、組織を適切に保護するための、組織の基盤を確立する堅牢なフレームワークを構成しています。

NISTフレームワークの機能は同時かつ動的に実行でき、チェックリストと言うよりは、サイバーセキュリティの成果と目標を達成するためのガイダンスとしての役割を果たすものとして提供されています。

統治 (GV)

統治機能は、組織がサイバーセキュリティとデータセキュリティプログラムのあらゆる側面を確立、伝達、監視するかに焦点を当てており、他の全ての機能の中心的役割を果たしています。

組織は、リスクを定義する「文脈」、つまり要因の概要を示す必要があります。この文脈には、利害関係者、依存関係、重要な資産、規制要件などのデータポイントが含まれます。その文脈は、組織がリスクを評価し、それらのリスクがサイバーセキュリティインシデントになることを防止するためのセキュリティの優先順位付けに影響します。

組織内のデータとサイバーリスクに対処するために、測定可能な目標を設定することも重要です。これらの目標には、定期的なサプライチェーン監査の実施や、サイバーセキュリティ部門が他のビジネス領域のセキュリティ以外の戦略計画サイクルに含まれるようにすることなどが含まれます。同部門は、社内外で責任モデルを策定し、人事のような技術以外の部門からセキュリティリスクを伝達するための報告体制を維持する必要があります。

組織はまた、特定の役職のサイバーセキュリティ上の役割と義務の概要を示し、サイバーセキュリティに直接関与していないリーダーにデータセキュリティに関する特別な責任を割り当てるべきです。

特定 (ID)

特定機能は、組織の環境と資産を把握し、それらに影響を与える可能性のあるリスクを理解し、それらのリスクを軽減するための改善策を決定する必要があります。資産には、システム、ハードウェア、ソフトウェア、サービス、そして―最も重要な―データなどが含まれます。事実、サブカテゴリー (ID.AM-07) 全体が、データとその在り処を管理することに特化しています。

さらに、組織は、重大な脅威となるものを定期的に評価し、再定義する必要があります。脆弱性スキャンやアセスメントの実施、さまざまな態勢管理ソリューションの利用脅威インテリジェンスの監視、定期的な脅威ハンティング演習の実施などにより、これらを達成することができます。

チームが環境や資産の重要度に基づいて、組織にとって最も差し迫ったリスクに対処するため、優先順位付けも重要です。例えば、Active Directoryの構成不備は、環境内のすべてのユーザーとアイデンティティに影響を及ぼす可能性があるため、修正の優先順位が高くなります。

最後に、特定機能では、組織は、行動計画とリスク軽減のリスク軽減の手順を記録しなければなりません。手順を決めるために考慮された要因を文書化することも、将来のリーダーが過去の前例を参照できるようにするものであるため、ベストプラクティスです。

防御 (PR)

防御機能は、特定機能で発見されたリスクを軽減することを目的とした保護措置で構成されます。組織はまた、次の項の検知機能で見つかった脅威に対処するための防御策を実施すべきです。

まず、提示されたリスクに合わせて環境内のソフトウェアを保守、交換、削除することが重要です。脅威インテリジェンスはまた、ソフトウェアの脆弱性を特定し、アップデートをすべきか、前のバージョンに戻すべきかを知らせてくれます。加えて、リスク評価では、未承認のAIアプリケーションなど、削除が必要な管理対象外のソフトウェアを明らかにすることができます。

ソフトウェア脆弱性の修正に加えて、防御機能では、組織は、ハードウェア、ソフトウェア、および情報システム全体にわたるアクセスのアクセス許可を管理と強制が必要とします。

組織は、従業員とセキュリティ部門に対する意識向上とトレーニング戦略を策定しなければなりません。アイデンティティとデータセキュリティの脅威は、疑うことを知らないユーザーが不適切なアクセス権を付与したり、悪意のある行為者に機密性の高い情報を誤って開示したりすることから始まることが多いものです。

多層防御戦略と同様に、防御機能の各カテゴリーは他のカテゴリーの上に構築されていきます。組織は、アイデンティティ管理とアクセス制御 (PR.AA) カテゴリーにある最小特権の原則とアクセス許可の管理を実施しなければ、データセキュリティ (PR.DS) カテゴリーに徹底的に対処することはできません。チームは、各カテゴリーが他のカテゴリーにどのような影響を与えるかを検討する必要があります。

検知 (DE)

検知機能は、企業全体で潜在的に悪影響を与える可能性のあるイベントを一貫をもって監視し、それらのインシデントを分析することに焦点を当てています。

イベントには、ネットワークアクセスセッション、DNSへの変更、ユーザーの振る舞いの変化、認証試行の失敗、アクセス許可や特権の変更などが含まれます。監視すべきデータに関連するイベントは、作成、読み取り、更新、削除、共有 (CRUDS) などのアクションで構成されます。

組織が、許容されるアクティビティや通常のアクティビティからの逸脱を検出することを支援するために、ルール、ポリシー、およびベースラインが構成されます。これらの変化をセキュリティ担当者に通知するために、アラートを有効化するべきです。

この機能は、インシデントやイベントのログ記録と、その情報の最新のSIEM、SOAR、AIテクノロジーを使った分析にも大きく依存しています。多くの組織は、24時間365日の運用と熟練した専門家のチームが必要となるため、イベント監視をマネージドセキュリティサービスプロバイダーやデータの検出とデータへの対応のマネージドサービス (MDDR) に依存しています。

対応 (RS)

対応機能は、侵害や攻撃が成功した場合の全体的な対応計画を構成する、手続き、コミュニケーション計画、緩和策、分析が含まれています。

RS内のインシデントマネジメントの要素の一つには、組織による、インシデントのカテゴリー分類と優先順位付けがあります。インシデントの重大度を測定するには、チームはまず、重要な資産の在り処と把握し、どのような影響を受けているのかを知る必要があります。

成熟した組織は、最も機密性の高いデータや規制対象のデータに影響するインシデントに優先順位を付け、インシデント対応計画をデータ中心のものに変えることができます。適切なツールを使用することにより、チームが積極的かつ迅速に必要な手順を実行できるようにし、攻撃がデータに与える可能性のある損害を軽減することができます。

RSはまた、組織の、インシデントの封じ込めとフォレンジック分析を実施するための外部の対応チームと復旧チーム招く能力についても言及しています。VaronisのMDDRのようなサービスは、侵害での「誰が/何を/いつ/どこで/どのように」の報告を支援し、再発のリスクを低減するのに役立ちます。

検出機能からのイベントはこの機能に流れ、対応機能のフローからの結果は復旧機能に流れます。さらに重要なのは、インシデント対応から得られた学びは、統治機能、識別機能、防御機能といった、他の全ての機能に対する組織の取り組みを、自然に変化させるということです。

復旧 (RC)

復旧機能は、チームが対応機能から得られた知見、情報や分析結果を、復旧戦略や手続きを通知するために利用するため、対応機能の延長または対となるものと考えることができます。

広報とレピュテーション管理はこの機能から外され、ブランドインテグリティよりもシステムの技術的な完全性の回復に重点を置くようになりました（ただし、ブランドインテグリティは良い動機づけにはなります）。

復旧機能には、社内および外部とのコミュニケーションが含まれ、攻撃の影響を受けたすべての機能を回復し、システムの一部が深刻な影響を受けた場合には修正の範囲を識別します。

バックアップは復元プロセスにおいて重要な役割を果たしますが、複数のベクトルによって侵害される可能性もあります。従って、チームは、バックアップを分析して最初の攻撃の際に敵対者が展開したコードと同じコードを探し、悪用されたアイデンティティ、アクセス、特権が削除されていることを確認する必要があります。

CSF組織プロファイル

プロファイルは、コアからの機能要件と、ビジネス上の必要性とサイバーセキュリティ目標とを整合させるものです。

さらに、プロファイルには、実装の成熟度に基づいて目標の状態と現在の状態を含まることができ、これは、システムセキュリティ計画と行動計画とマイルストーンの概念にとてもよく似ています。

これら2つを組み合わせることにより、サイバーセキュリティ目標に向けたロードマップを作成することができるはずです。NISTからテンプレートをダウンロードすることも、さまざまな企業規模や業種向けに作成されたコミュニティプロファイルを採用することもできます。

CSFのティア

実装ティアは、組織がサイバーセキュリティリスクをどのように捉え、それに対応していくかを示しています。それは、あなたの組織が現在どのような状況にあり、どこへ向かおうとしているのかを示す目印です。

各機能に対する組織のティアを判断するためには、社内の利害関係者が、サイバーセキュリティリスク管理のビジネス上の必要性と、現在適用されている厳しさの水準を考慮する必要があります。以降、各ティアについてそれぞれ説明します。

ティア1: 部分的である

このティアでは、サイバーセキュリティにその都度の対応をしているため、一般的には組織のリスクの多くに気付いていません―従業員やリーダーシップチームにもこれらのリスクが適切に伝えられていません。この消極的なティアでは、積極的なニーズがある場合にのみサイバーセキュリティが考慮されます。

ティア2: リスク情報を活用している

ティア2のプログラムでは、サイバーセキュリティリスクに対する意識がより高く、企業のニーズに基づいてリスク管理にリソースが割かれています。しかし、プログラムは正式なものとなっておらず、プロセスはほとんどなく、検討事項の大部分は組織内に留まっています。サードパーティやベンダーのリスク管理は、このティアではまだ検討されていません。

ティア3: 繰り返し適用可能である

このティアに属する組織は、より正式な方針と慣行を持っており、リスク管理におる新しい情報や優先事項の変化に基づいて、それらを継続的に更新しています。ティア3に属する組織では、多くの場合、組織内の方針の策定と管理を担当する少なくとも1名のフルタイムのサイバーセキュリティ専門家がいます。

このティアでは、経営陣がサイバーセキュリティの議論に積極的に関与し、外部の関係者（ベンダーやパートナーなど）もサイバーセキュリティ戦略全体の一部として考慮されます。内部および外部の関係者は、サードパーティリスクに対処する管理策および方針が整備されていることを確認します。

ティア4: 適応している

このティアに属する組織は、新しい脅威、脆弱性、エクスプロイトなどを継続的に調査して見つけ、それらに応じて対応します。また、新たな脅威から自組織を守るため新しいツールや機能にも定期的に投資しています。 また、このティアの組織は、正式なセキュリティオペレーションセンター (SOC) を持つか、アクティブなSOCとしてサードパーティのマネージドサービスを利用して、リスクを監視している見なされています。

リスク許容度は総じて低く、サイバーセキュリティリスク管理は組織の不可欠な部分であり、企業全体の意思決定において重要な声として機能しています。

NIST CSF 2.0の実装方法

さまざまな分野が関係しているため、導入するのは困難と思えるかも知れませんが、このフレームワークは柔軟性や容易性を考慮して構築されたものであることを理解することが重要です。

NISTは、出発点として、NIST CSF 2.0を実装するための実用的なクイックスタートガイド (QSG) を提供しています。多くの組織は、CSFのレビューや初回演習を、年間予算や会計年度の計画と同時に実施しています。

このベストプラクティスは、ITやセキュリティのリーダーに向け、投資の項目を作成する際に使用できる、正式な評価と計画を提供します。

さらに、NIST CSF 2.0リファレンスツールには、組織内のギャップの解決策やプロセスの例も用意されています。

#1 優先順位付けと対象範囲の定義

ビジネスリスクの目的と、リソースや投資が必要な優先事項を識別することは、NIST CSF 2.0の実装の最初のステップです。これにより、短期的、長期的な能力に対して、追加のリソース、残予算がなくてもチームが対処できることについて理解することができます。

#2 リスクアセスメントの実施

組織のリスク資産、リスク許容度、リスク管理のビジネス上の必要性、利用可能なリソースを理解することは極めて重要です。リスクアセスメントは、自組織がどのティアに属しているのかを知り、一定の期間内に現実的に達成できる目標を識別するのに役立ちます。

#3 ギャップの識別、分析、優先順位付け

現在の状態と目標とする状態を比較することにより、ギャップを特定し、目標に到達するために必要な段階や行動を識別することができます。これはまた、適切なベンダーやソリューションを見つけて、調達するためにも役立ちます。

#4 行動計画の実施

ここまでで、実装を進めるために必要不可欠な段階、主要な連絡先、行動を理解できるはずです。自分のチームが、すべての段階での進捗を把握した上で、資料を更新し、価値を実証できるようにします。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/nist-cybersecurity-framework

・Kermit the Frog Takes the ALS Ice Bucket Challenge | The Muppets
https://youtu.be/Mmax3yEZX58?feature=shared

・NIST Releases Version 2.0 of Landmark Cybersecurity Framework（英文）
https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework

・データシート「Varonis For Microsoft 365 Copilot」
https://view.highspot.com/viewer/1b532c1f3325f952423561cd06487ea4?iid=669354a5d9a7bac05ede216c

・The NIST Cybersecurity Framework (CSF) 2.0（英文）
https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

・データの検出とデータへの対応のマネージドサービス (MDDR)
https://www.varonis.com/ja-jp/products/mddr

・CSF 2.0 Profiles（英文）
https://www.nist.gov/cyberframework/profiles

・Framework Resource Center（英文）
https://www.nccoe.nist.gov/framework-resource-center

・データシート「Varonis for Active Directory」
https://view.highspot.com/viewer/1b532c1f3325f952423561cd06487ea4?iid=631f0f7aa4da9ffa3e0d6e3e

・Navigating NIST's CSF 2.0 Quick Start Guides（英文）
https://www.nist.gov/quick-start-guides

・Cybersecurity Framework CSF（英文）
https://csrc.nist.gov/Projects/Cybersecurity-Framework/Filters#/csf/filters

・Cloud and SaaS Security with DatAdvantage Cloud（日本語字幕あり）
https://youtu.be/9UFA1y9aH6g?si=PC-hgTJZKgzimpfl

・Varonisデータリスクアセスメント
https://info.varonis.com/ja/data-risk-assessment

ブログ記事著者の紹介

Shawn Hays

Shawnは、Varonisのプロダクトマーケティングマネージャーであり、主にMicrosoftクラウドに注力しています。彼は、Microsoftエコシステムとサイバーセキュリティの分野で10年間の旅をしてきました。データセキュリティについて論じないとき、音楽フェスティバルやフリスビーを投げると彼を捕まえることができます。

（翻訳：跡部 靖夫）