米国国立標準技術研究所(NIST)のサイバーセキュリティ・フレームワーク(CSF)バージョン2.0のドラフトが、一般公開のレビューとフィードバックのためにオンラインで公開されている。オリジナルの CSF は、サイバーセキュリティ・リスクを低減するための 5 つの中核的機能を概説している:特定(Identify)、保護(Protect)、検知(Detect)、対応(Respond)、回復(Recover)である。機能はさらに、特定のサイバーセキュリティの成果に関連するカテゴリと、技術的および管理的な成果に向けた関連するサブカテゴリで説明されている。
CSF 2.0 の改訂に携わったチームは、他の政府関係者、業界支持者、サイバーセキュリティソリューション・プロバイダと、新しいアイデアや更新の可能性を検討するために 1 年以上を費やした。2.0 版の最も重要な変更点は、「ガバナンス」機能の追加、実施例と情報リソースである。
NIST CSF 2.0には6つの明確な目標がある:
フレームワークの幅広い利用を認識する。- CSFを他のフレームワークやリソースと関連付ける
- CSFの実施に関するガイダンスを増やす
。 - サイバーセキュリティ・ガバナンスの重視
サイバーセキュリティ・ガバナンスの重視 サイバーセキュリティ・ガバナンスの重視
サイバーセキュリティのサプライチェーン・リスクマネジメントを重視する。- サイバーセキュリティの測定と評価に関する理解を深める
サイバーセキュリティの測定と評価に関する理解を深める サイバーセキュリティの測定と評価に関する理解を深める
これらの包括的な目標を念頭に置いて、以下は最新の2.0ドラフトに関する2つの真実と1つの嘘である。
真実その1:NIST 2.0は運用技術に適用される (OT)
このフレームワークは、組織が使用するすべての情報技術(IT)、モノのインターネット(IoT )、および運用技術(OT )に適用される。OT は、産業環境における物理デバイス、プロセス、およびイベントの直接的な監視または制御を通じて、変化を検出または引き起こすハードウェアとソフトウェアの総称である。OT セキュリティは、多くの場合、手元のプロセス、商品、サービス、またはリソースのコンテキストに基づいて、独自のケースバイケースの区別が行われる。フレームワークの新しい「ガバナンス」機能に関して、組織は今こそ、OT サイバーセキュリティリスク管理戦略、期待、および方針を確立し、監視する時である。
OT サイバーセキュリティは、データを読み取り、ロジックを実行し、出力を機械や機器に送り返す産業用、プロセス制御機器、IoT 技術を標的とする攻撃を防ぐことを目的としている。今日、これらのカテゴリの機械や機器を製造する各ベンダーのOT (およびIoT )システムには、何千もの既知の製品脆弱性が存在する。ネットワークを可視化し、既存のコントロールと緩和策、技術的依存関係、組織的相互依存関係を理解することなしに、特定の製品、サービス、リソース、プロセス、技術に基づく産業環境のリスクを文脈化することはますます難しくなっている。
真実その2:CSF 2.0は他の規制と調和できる
CSF 2.0 は、堅牢で成熟したサイバーセキュリティプログラムを構築・維持するための 6 つの包括的なセグメントをユーザに紹介するように構成されている。このフレームワークは、既存の規制やガイドラインを超えたり置き換えたりするものではなく、それを補完するロードマップとなり得るものである。この現実は、新たに発表された米国の国家サイバーセキュリティ戦略に沿ったものであり、「我々の戦略的環境は、各セクターのリスクプロファイルに合わせたサイバーセキュリティのための近代的で機敏な規制の枠組みを必要とし、重複を減らすために調和され、官民協働を補完し、導入コストを認識している」と指摘している。
バージョン2.0は、以下の既存および発展中のリソースを参照している:
- NISTプライバシーフレームワーク
- サイバーセキュリティのためのNICEワークフォースフレームワーク(SP 800-181)
- セキュアソフトウェア開発フレームワーク(SP 800- 218)
- システムと組織のためのサイバーセキュリティサプライチェーンリスク管理の実践(SP 800-161r1)
- 情報セキュリティのパフォーマンス測定ガイド(SP 800-55)
- サイバーセキュリティと企業リスク管理の統合(NIST IR 8286)シリーズ
- 人工知能リスク管理フレームワーク(AI 100-1)
CSF 2.0は、例えばサイバーセキュリティ・インフラ安全保障庁(CISA)のサイバー・パフォーマンス目標(CPG)や北米電気信頼性公社(NERC)の重要インフラ保護(CIP)基準のように、既存の連邦、州、地方の基準や規制と関連付けることができる。2022年4月には、NIST SP 800-82 Rev.3「運用技術(OT)セキュリティの手引き」の初期公開草案も公表された。このガイドは、NIST CSFカテゴリの多くを、OT および ICS の範囲に具体的に関連付け、OT リスク管理、推奨プラクティス、アーキテクチャのためのより深い評価を含む。
嘘:NIST CSF 2.0はますます規定的になっている
2.0 ドラフトでは、「フレームワークは、成果をどのように達成すべきかを規定するものではない」とされている。この改訂版には、関連する数百の「実施例」(各機能のサブカテゴリごとに、セキュリティポリシーと管理策を導入するために取られたアクション、活動、対策)がカテゴリごとに整理されて含まれている。例えば、「常にネットワークを監視して、新しいハード ウェアを検出し、インベントリを自動的に更新する」は、「機能」の「実施例」である:特定」、「カテゴリ資産管理」、サブカテゴリ 01:「組織が管理するハードウェアのインベントリを維持する」。
実施例」は、より強化されたセキュリティ成果と、より防衛力の高い組織を生み出すために、CSF の小分類を達成するための行動指向のプロセスであることを意図している。実施事例が自社の業務に完全に適合していなければ役に立たないと考えるのは誤りである。実施例は、成熟度、既存の戦略や緩和策、重要性、リソースの制約に基づいて選択する必要がある。現在の実施例と参考文献は、業界と利害関係者のフィードバックのために公開されている。
結論
産業用サイバーセキュリティ製品のグローバル・ソリューション・プロバイダーとして、当社は2013年の設立以来、NIST CSFの強固な実施を目の当たりにしてきた。国内外の顧客は、リスク管理プログラムの概要と指針となるフレームワークのカテゴリーとサブカテゴリーを広く採用している。Nozomi Networks 米国科学技術研究所(NIST)は、サイバーセキュリティ活動、目標、リスク管理の優先事項に関する一貫した首尾一貫したガイダンスと参考資料をグローバル産業に提供するための継続的な取り組みを称賛する。
サイバーセキュリティ・フレームワークは、サイバーセキュリティ・コミュニティの柱であり、現在までの CSF の広範な適用可能性と有用性を強調することは非常に重要である。私たちは、主にさまざまな産業用制御システムや運用技術を持つオーナーやオペレーターと協力して、レガシー技術や資産のインベントリ、脆弱性のマッピングと管理、threat intelligence と検出、そしてデータが豊富で情報が乏しい環境に対するより広範な状況認識と異常検出を深く理解することに基づいて、サイバーインシデントを特定、保護、検出、対応、回復するための重要な役割を担っていると考えています。
すべてのセクターがサイバーセキュリティのギャップを解消し、変更管理を方向転換し、産業組織やハイパーコネクテッド組織全体で全体的なサイバーセキュリティの適用を推進しようと努めている中、NIST CSF 2.0に概説されている成果をカバーする4つの重点的な投資がある:
カテゴリー1 - ネットワークの可視性
コンポーネントの状態を知らなければ、保護も調査もできない。日々の機能を可視化する必要がなければ、資産を保護することはできません。
カテゴリー2 - 脆弱性管理
脆弱性は、必ずしも適切かつタイムリーで、実行可能なパッチやアップデートが提供されるとは限りません。既存の脆弱性を自社のネットワークと運用の文脈で理解することは、これまで以上に重要である。
カテゴリー3 - サイバーThreat Intelligence
脅威者はOT と ICS を標的としている。運用技術や重要インフラを脅かし続ける脅威行為者、ランサムウェアやコモディティマルウェア、ゼロデイを追跡し、マッピングすることが必要です。
カテゴリー4 - 状況認識の向上
複数のベンダーのシステムや統合により、コンポーネントや接続は増え続けている。行動分析は、プロアクティブなセキュリティのために、文脈に沿ったリアルタイムの変化や逸脱について、より良い状況認識を得るためのソリューションです。
