こんにちは!
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティ研究室から報告させていただきます
前回は、セキュリティ研究室から、CSFについて調査し報告しました。当初調査を始めたときは、サイバーセキュリティ経営ガイドラインを頂点に、その土台がサイバーセキュリティフレームワークだと考えていましたが、どちらかというと、教科書的で、概要に近いものでした。考え方は確かに、その土台となっているのかもしれませんが、その内容は、セキュリティの全てを網羅するというモノではありませんでした。
本日は、来週以降その詳細の部分を埋める文書を探し求める旅にでるために、今までの情報を整理したいと思います。
セキュリティ研究室では、2024年08月26日から、DXを皮切りにセキュリティに関する調査をしてきましたが、それぞれの情報は、内容的には似ているが、連続したものではなく、どちらかというと物切れで、とりとめもない印象を持っていました。しかし、サーバーセキュリティ経営ガイドライン、CPSF、そしてCSFと勉強を進めてきて、つながりを感じることができました。私の印象だけで作ったものなのですが、右記がその図になります。
CSFについて、教科書的で、概要に近いと言いながら、ピラミッドの土台に位置しているのは、やはり、考え方はCSFに基づいて作っていると感じているからです。
さて、それぞれの情報について、再整理していきましょう!
それでは、3原則とはなんでしょうか?
ただそれは、教科書と同じで当初はその通りになってみた結果そうなるのかもしれませんが・・・。
下記にリンクをつけておきますので、一度ご一読ください。
以上にも書かれていますが、CSFはTier 4を実現することがマストではなく、各組織が自らの状況を理解し改善するための指針です。多分それが理由だと思いますが、CSFは、その選択を行うまたは起こったインシデントの責任の所在を経営者に求めています。
なお、今回今までの復習するに際し気づいたのですが、サイバーセキュリティフレームワークの略語を過去のブログにおいて、CPFSとしていた部分が多々ありましたが、CPSFの誤りでした。本日修正しました。大変失礼をいたしました。
では、また!!!
■サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) ~セキュリティ研究室
https://fanblogs.jp/bahamuteve/archive/525/0
■CSF ~CSFコア~ [セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/540/0
■CSF ~組織プロファイル~ [セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/543/0
■CSF ~CSFティア~ [セキュリティ研究室]
https://evezerodevelopment.blogspot.com/2025/01/csfcsf.html
■サイバー・フィジカル・セキュリティ対策フレームワーク(経済産業省))
https://www.meti.go.jp/policy/netsecurity/wg1/CPSF_ver1.0.pdf
ナビゲータのEVEです。
本日は、日曜日ということで、セキュリティ研究室から報告させていただきます
前回は、セキュリティ研究室から、CSFについて調査し報告しました。当初調査を始めたときは、サイバーセキュリティ経営ガイドラインを頂点に、その土台がサイバーセキュリティフレームワークだと考えていましたが、どちらかというと、教科書的で、概要に近いものでした。考え方は確かに、その土台となっているのかもしれませんが、その内容は、セキュリティの全てを網羅するというモノではありませんでした。
本日は、来週以降その詳細の部分を埋める文書を探し求める旅にでるために、今までの情報を整理したいと思います。
[セキュリティピラミッド]
CSFについて、教科書的で、概要に近いと言いながら、ピラミッドの土台に位置しているのは、やはり、考え方はCSFに基づいて作っていると感じているからです。
さて、それぞれの情報について、再整理していきましょう!
[サイバーセキュリティ経営ガイドライン]
サイバーセキュリティ経営ガイドラインは、3原則と重要10項目で構成されていて、重要10項目は、同3原則を実現するための指針と考えることができます。それでは、3原則とはなんでしょうか?
❶経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
❷サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
❸平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
お役職的な硬い文章となっています。その硬い文章を以下の内容で、意訳しているサイトがありました。❷サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
❸平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
❶リーダーシップの発揮
❷サプライチェーンセキュリティの強化
❸関係者との積極的なコミュニケーション
~LRM株式会社~
私も当初勘違いしましたが、関係者との積極的なコミュニケーションとは、CSIRTとなどの、セキュリティ専門業者を指します。重要10項目は、以上の3原則を実現するために定義されています。ここではあえて、その10項目は再掲しません。それは、以上の3原則が実現されるなら、重要10項目はもしかしたら、不要なのかもしれません。❷サプライチェーンセキュリティの強化
❸関係者との積極的なコミュニケーション
~LRM株式会社~
ただそれは、教科書と同じで当初はその通りになってみた結果そうなるのかもしれませんが・・・。
[サイバーセキュリティフレームワーク(CPSF)]
以前のブログで、CPSFについて、以下のように書いています。
前回のセキュリティの勉強において、CPSFは、「Society5.0」におけるセキュリティ対策の全体像を整理し、産業界が自らの対策に活用できるセキュリティ対策例をまとめたフレームワークであるのと同時に、サイバーセキュリティ経営ガイドラインの支援ツールとして、組織のガバナンスの確保に有効に活用できると話してきました。そして、サイバーセキュリティ経営ガイドラインにおいてCPSFのその役割は、経営層と現場の架け橋として、セキュリティに関する経営上の視点と現場レベルの実装指針を結びつける役割を果たします。
~中略~
サイバーセキュリティ経営ガイドラインは、企業のセキュリティの強化が行えるよう、経営者がリーダーシップを発揮し、サプライチェーンを含めた全社のセキュリティの強化をステークホルダと対話しながら率先して実施するといった企業経営の観点からまとめられたものでした。そして、CPSFは、サイバーセキュリティ経営ガイドラインのフレームワークとして機能するように、産業全体像を捉え、社会環境の変化に伴うサイバー攻撃の脅威の増大に対応出来るようにまとめられたモノで、それは、産業構造の観点からまとめられたモノといえます。
以上の文章から分かるように、CPSFは、プラミッドの頂点のサイバーセキュリティ経営ガイドラインを支えるツールとしての役割を果たし、その内容は多岐に渡るうえに、かなり詳細に記載されています。~中略~
サイバーセキュリティ経営ガイドラインは、企業のセキュリティの強化が行えるよう、経営者がリーダーシップを発揮し、サプライチェーンを含めた全社のセキュリティの強化をステークホルダと対話しながら率先して実施するといった企業経営の観点からまとめられたものでした。そして、CPSFは、サイバーセキュリティ経営ガイドラインのフレームワークとして機能するように、産業全体像を捉え、社会環境の変化に伴うサイバー攻撃の脅威の増大に対応出来るようにまとめられたモノで、それは、産業構造の観点からまとめられたモノといえます。
下記にリンクをつけておきますので、一度ご一読ください。
[サイバーセキュリティフレームワーク(CSF)]
最後に、サイバーセキュリティ経営ガイドライン、CPSFの考え方の土台となった、CSFについて見ていきましょう。
❶CSFコア(Core)
セキュリティ活動を整理し、共通の言語を提供するものです。
6つの機能で構成されています。
1)統治(Govern)
2)識別(Identify)
3)防御(Protect)
4)検知(Detect)
5)対応(Respond)
6)復旧(Recover)
❷ CSF組織プロファイル(Profile)
組織プロファイル(Organizational Profile)は、NIST CSFを導入する際に、組織特有の特徴や状況を詳細に分析・記述するプロセスです。CSFの6つの機能(Identify, Protect, Detect, Respond, Recover, Govern)をカスタマイズして適用するための基盤となります。
組織プロファイルを通じて、以下が可能になります:
・組織の現在地(現状のセキュリティ体制とリスク)を明確化
・CSFの適用範囲を特定
・リスクマネジメント活動の方向性を策定
そして、構成要素として以下を挙げています。
1)ビジネス環境(Business Environment)
2)リスクガバナンス(Governance and Risk Management)
3)システムと資産の概要(Systems and Assets Overview)
4)リスク管理のアプローチ(Risk Management Approach)
5)サイバーセキュリティ成熟度(Cybersecurity Maturity)
6)法令遵守と業界基準(Compliance and Standards)
7)将来のセキュリティ目標(Future Goals and Objectives)
③ CSFティア(Tiers)
セキュリティリスク管理の成熟度を評価する基準。4段階のティア(Tier 1~4)で構成されます。
・Tier 1: 部分的(Partial)
・Tier 2: リスク重視(Risk Informed)
・Tier 3: 確立された(Repeatable)
・Tier 4: 適応的(Adaptive)
ティアは必須基準ではなく、各組織が自らの状況を理解し改善するための指針です。
なお、最初、CSFコアについてご紹介したとき、5つの機能と書きましたが、それは、2024年2月25日まで有効だった,CSF1.1の内容となります。2024年2月26日からはCSF2.0にバージョンが上がり、1つ機能が増え、6つになっています。セキュリティ活動を整理し、共通の言語を提供するものです。
6つの機能で構成されています。
1)統治(Govern)
2)識別(Identify)
3)防御(Protect)
4)検知(Detect)
5)対応(Respond)
6)復旧(Recover)
❷ CSF組織プロファイル(Profile)
組織プロファイル(Organizational Profile)は、NIST CSFを導入する際に、組織特有の特徴や状況を詳細に分析・記述するプロセスです。CSFの6つの機能(Identify, Protect, Detect, Respond, Recover, Govern)をカスタマイズして適用するための基盤となります。
組織プロファイルを通じて、以下が可能になります:
・組織の現在地(現状のセキュリティ体制とリスク)を明確化
・CSFの適用範囲を特定
・リスクマネジメント活動の方向性を策定
そして、構成要素として以下を挙げています。
1)ビジネス環境(Business Environment)
2)リスクガバナンス(Governance and Risk Management)
3)システムと資産の概要(Systems and Assets Overview)
4)リスク管理のアプローチ(Risk Management Approach)
5)サイバーセキュリティ成熟度(Cybersecurity Maturity)
6)法令遵守と業界基準(Compliance and Standards)
7)将来のセキュリティ目標(Future Goals and Objectives)
③ CSFティア(Tiers)
セキュリティリスク管理の成熟度を評価する基準。4段階のティア(Tier 1~4)で構成されます。
・Tier 1: 部分的(Partial)
・Tier 2: リスク重視(Risk Informed)
・Tier 3: 確立された(Repeatable)
・Tier 4: 適応的(Adaptive)
ティアは必須基準ではなく、各組織が自らの状況を理解し改善するための指針です。
以上にも書かれていますが、CSFはTier 4を実現することがマストではなく、各組織が自らの状況を理解し改善するための指針です。多分それが理由だと思いますが、CSFは、その選択を行うまたは起こったインシデントの責任の所在を経営者に求めています。
[あとがき]
サイバーセキュリティ経営ガイドラインはその内容自体が薄いので、忘れることはないのですが、CPSFなどは、思い出したっていう部分もありました。記憶を新たにしたところで、来週から、深掘りしていければと考えています。なお、今回今までの復習するに際し気づいたのですが、サイバーセキュリティフレームワークの略語を過去のブログにおいて、CPFSとしていた部分が多々ありましたが、CPSFの誤りでした。本日修正しました。大変失礼をいたしました。
では、また!!!
■サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) ~セキュリティ研究室
https://fanblogs.jp/bahamuteve/archive/525/0
■CSF ~CSFコア~ [セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/540/0
■CSF ~組織プロファイル~ [セキュリティ研究室]
https://fanblogs.jp/bahamuteve/archive/543/0
■CSF ~CSFティア~ [セキュリティ研究室]
https://evezerodevelopment.blogspot.com/2025/01/csfcsf.html
■サイバー・フィジカル・セキュリティ対策フレームワーク(経済産業省))
https://www.meti.go.jp/policy/netsecurity/wg1/CPSF_ver1.0.pdf
コメント
コメントを投稿