【One Tech #03】インフラのセキュリティ推進検討におけるフレームワーク、CSFについて解説してみた！

CSFを構成する3つの要素と使い方

　それでは、このフレームワークの中身を見ていきましょう。

　CSFは、「Framework Core (フレームワークコア、以後コア)」「Implementation Tier(インプリメーションティア、以後ティア)」「Framework Profile (フレームワークプロファイル、以後プロファイル)」 という3つの要素で構成されています。

　コアはセキュリティを考えるための観点(後述の機能・カテゴリ)ごとに取ることのできるセキュリティ対策とそれにより期待される効果などをまとめたものです。CSFは48ページの文書ですが、そのうち23ページはこのコアの解説に割かれており、CSFの中でも重きを置かれている部分と言えます。このコアに関しては、次の章で詳しく書かせていただきます。

　ティアはそれぞれのコアごとの対策状況を数値化し、組織を評価する基準となるものです。４段階での評価となっており、「1. Partial(部分的である)」「2.Risk Informed(リスク情報を活用している)」「3. Repetable(繰り返し適用可能)」「4. Adoptable(適応している)」という文言で表記されています。それぞれの評価基準の定義を要約してみると、下の表のようになります。

　ティアは、サイバーセキュリティリスクをどのように管理し、どこの分野に対して優先的に取り組んで追加のリソースを割り当てるかについての決定を行う際に参考となります。このティアでの評価によって組織のセキュリティリスクについて現状把握を行うことができます。ティア1であると認識された組織/分野はティア2以上を目指すことが推奨されていますが、同時に、必ずしも組織の全ての分野でティア4を達成していなければいけないというわけではありません。より高位のティアに進むという決定は、セキュリティリスクの低減が可能かつ費用対効果が高くなる場合に有効であるとされており、どの分野に力を入れるかは組織に委ねられています。

　プロファイルはサイバーセキュリティ対策に対する「As-Is (現在の姿)」と、各組織でのビジネス上の要求事項やリスク許容度、割り当て可能なリソースなどをもとに考えられた「To-Be(目指すべき姿)」をまとめるものです。これにより、サイバーセキュリティリスクを低減するためのロードマップを確立をすることができます。このプロファイル、雛型は想定していないとのことで、表やグラフなどを用いて自分が見やすいように作ることができるという点では汎用性が高い一方で、初めての人は「どのようなプロファイルを作るか」から考えなければならない点では敷居が高いと感じる人も多いのではないかと個人的には感じています。

　以上に挙げたコア・ティア・プロファイルの3つの要素の説明をまとめると、このCSFでできることが見えてくるかと思います。即ち、それぞれのコアごとのティアの点数をもとに自社のセキュリティをスコアとして「見える化」し、現在の状態と将来目指すべき状態をプロファイルに落とし込むことでこれから改善を行うためのロードマップを作成できる、ということです。このフレームワークは計画、設計、構築、調達、配備、運用、廃止といったライフサイクルの全ての段階に適用可能であり、あらゆる活動を行う際にセキュリティ面での検討のために使うことができます。具体的には、自組織のセキュリティ対策のレビューや、セキュリティ対策の改善や新たな立ち上げ、セキュリティ上の要求事項についての利害関係者とのコミュニケーション、物品やサービスの購入などが本文中で例示されています。

CSFのコアに定義されているカテゴリについて

　ここまではCSFの使い方を一通り見てきました。では、そもそもセキュリティの対策はどのようなことが必要なのでしょうか？それに答えてくれるのが、CSFの「コア」の部分です。CSF (ver 1.1)のコアでは、まずセキュリティ対応の大きな流れの中での5つの観点が「Functions (機能)」として定義されています。更に、それぞれの観点で対策すべき23の事項「Categories (カテゴリ)」と、カテゴリ毎に合計108項目の具体的な成果、目標の内容「Subcategories (サブカテゴリ)」が記載されています。この章ではこのコアについて詳しく見ていきましょう。

　先述の通り、セキュリティの対応を行う上で一番大きな流れとして定義されているのが「Function(機能)」です。これは、「Identify（識別）」「Protect（防御）」「Detect（検知）」「Respond（対応）」「Recover（復旧）」の5つで構成されています。

　これらの5つで、セキュリティインシデントを予防するための対策から実際に起きてしまった時の対応や後始末まで、一通りのことができるようになっています。更に、この大きな5つのステップそれぞれで、対策すべき内容(カテゴリ)とそのカテゴリそれぞれに対して具体的な達成目標である(サブカテゴリ)が定義されています。次の表では、それぞれの機能に対するカテゴリの一覧と、サブカテゴリの要約をまとめてみました。

　この表に挙げた内容が、CSFが対策を推奨している主な事項です。例として「識別」の機能でみてみましょう。皆さんの組織では、どれだけ対策すべきデバイスやプログラムがあって、それらにどういった対策が必要でどのようなものが既に施されているかを把握していますか？委託先があればその委託先のリスク評価ができていますか？自社の製品がセキュリティの問題を引き起こした時にどこまで影響が及ぶか把握していますか？

　「防御」の面でも見ていきましょう。必要な人以外がデータを参照できないようにＩＤ制御やアクセス制御を行っていますか？セキュリティ意識向上のためのプログラムは実施されていますか？皆さんはこれらの教育プログラムや訓練をしっかりと受講されてますか？

　このように、「では検知の面ではどうか？対応、復旧の面は？」と順番に考えていくだけで、セキュリティに関しての立派なレビューが出来上がっていきます。これがセキュリティを改善する第一歩です。ぜひ皆さんの組織でもこのCSFの項目でのレビューを行ってみてください。なお、この表の要約は全ての事項をまとめられてはいないので、気になる方は是非原文やIPAの日本語翻訳版を見に行ってみてください！

まとめ

　今回はCSFについて解説していきましたが、いかがだったでしょうか？セキュリティというと難しくてとっつきにくいイメージかもしれないですが、このようなより詳しいフレームワークも準備されている、ということを覚えて行っていただければと思います！

　また、セキュリティの実施側として考えるだけでなく、組織の構成員側の視点でもできることがあります。例えば、セキュリティの教育プログラムや訓練をしっかり受講するというだけで「防御」の項目のうち一つで評価を上げることができます。セキュリティの予防はいつも小さなステップから始まっていきます。皆さん自身ができることはきっとあるはずです。

　一番最初に書いた通り、このCSFは会社などの大きな組織全体で見るのはもちろんのこと、本部や部、課などもう少し小さい単位の組織でも考えることができます。これを機に、ぜひ皆さんの組織でもセキュリティインシデントの予防ができているかを確認してみてください！

それでは、次回の【One Tech】もお楽しみに〜！