Hello there, ('ω')ノ
サイバーセキュリティ対策を効果的に進めるためには、明確な「設計図」が必要です。NISTサイバーセキュリティフレームワーク(CSF)では、コア、ティア、プロファイルという3つの要素で構成されており、組織がどこにいて、どこを目指すべきかを示しています。
NIST CSFの構成要素 – コア、ティア、プロファイルとは?
NIST CSFは以下の3つで成り立っています。
- コア:6つの主要機能(Govern、Identify、Protect、Detect、Respond、Recover)で構成され、各機能はさらに細かなカテゴリやコントロールに分かれています。
- ティア:組織のサイバーセキュリティ成熟度を4段階で評価し、現状のレベルを把握します。
- プロファイル:現在のセキュリティ状態と将来目指すべき状態を描き、改善のためのロードマップを作ります。
6つのコア機能で何を守り、どう動くのか
NIST CSFは「何を守るか」「どのように対応するか」を6つのコア機能で示します。
1. Govern(統治):リスク管理やポリシー策定を組織全体で行うための枠組み。
2. Identify(特定):守るべき資産やリスクを明確にし、把握します。
3. Protect(防御):アクセス管理や暗号化など、実際に資産を守る施策を行います。
4. Detect(検知):異常や攻撃を迅速に発見するための監視・分析を行います。
5. Respond(対応):攻撃を受けた際の対応手順を定め、迅速に行動します。
6. Recover(復旧):被害からの復旧計画を実施し、業務を再開させます。
ティアで可視化するセキュリティレベル
NIST CSFは4つのティアで組織のセキュリティレベルを評価します。
- ティア1(部分的):リスク管理が不十分で、対応は場当たり的。
- ティア2(リスク認識済み):部門ごとにリスク管理を行っているが、組織全体では統一されていない。
- ティア3(反復可能):組織全体でリスク管理を実施し、標準化されたプロセスが存在。
- ティア4(適応的):常に新しい脅威に適応し、継続的な改善を行う成熟した段階。
プロファイルで描く現在と未来
プロファイルは、組織の現在のセキュリティ状態(現状プロファイル)と、数年後に目指す理想の状態(未来プロファイル)を定義します。これにより、「今どこにいるのか」「これからどこへ向かうのか」が明確になり、改善のためのステップを計画できます。
PDCAサイクルでサイバーセキュリティを進化させる
NIST CSFでは、PDCAサイクル(Plan・Do・Check・Act)を使ってセキュリティプログラムを継続的に改善します。
- Plan(計画):リスクや課題を特定し、改善計画を立案。
- Do(実行):セキュリティ対策を実施。
- Check(評価):実施した対策が有効だったかを評価・分析。
- Act(改善):評価結果を基に、さらに対策を改善し次の計画へ。
PDCAを回すことで、常に最新の脅威に対応し、セキュリティを強化していくことが可能です。
まとめ
NIST CSFは、コア、ティア、プロファイルという基本構造を持ち、組織のサイバーセキュリティを体系的かつ段階的に進化させるための強力なツールです。
Best regards, (^^ゞ
