サイバーセキュリティフレームワークの発展

こんにちは。
日本コンピューターサイエンス株式会社 ( CSC ) から、セキュリティ情報をお届けします。

近年さらに巧妙化していくサイバー攻撃に対して、情報システムやデータを守るための対策 ( セキュアなシステム構築や人的な体制の整備 ) が不可欠です。 しかし、これらをゼロから構築するには高度専門知識が必要とされ、非常に困難です。そこで役立つのが、セキュリティ対策の指針がまとめられたフレームワークです。

様々なサイバーセキュリティフレームワークの中で、代表的なものとしてISMSとNISTが使われています。

サイバー攻撃の脅威

サイバー攻撃は、DDoS攻撃、マルウェア、ランサムウェア等と多様化しています。かつては極秘な情報を管理するサーバーやパソコンが主な攻撃対象でしたが、IoT機器が普及する現在、様々な環境がネットワークで繋がることにより、例えばオフィスのプリンタや個人のスマホなども攻撃対象となっています。

高度なセキュリティを施す企業も増えていますが、セキュリティの脆い企業を経由して対象を狙うといった、サプライチェーン攻撃のようなサイバー攻撃も、より悪質化・巧妙化しています。

セキュリティ基準の変化

情報セキュリティに関する国際規格の1つである『ISMS ( ISO27001 ) 』は、「社内のセキュリティ向上」「顧客からの信頼を得る」等の観点から、多くの日本企業でもセキュリティルールの整備に採用されています。

一方、アメリカを中心に、海外では新たなサイバーセキュリティ基準として『NIST SP800-171』が普及してきており、今後の世界標準になると考えられています。

ISMS と NISTの比較

サイバーセキュリティフレームワークは主に5つのプロセスから構成されており、海外で『NIST SP800-171』が注目される理由の一つとして、サイバー攻撃を受けた後の体制を重視している点があげられます。

プロセス 内容 攻撃 ISMS NIST
特定 サイバー攻撃とはどういったものかを知り、 そのリスクや防衛手段に対して理解を深める。 侵入前
防御 重要なインフラには「パスワードの定期変更」「ファイアーウォール設置」等、適切な保護対策を設ける。
検知 IPSやIDSなどを用い、攻撃されたことを迅速に検知する対策を施す。 侵入後
対応 検知された攻撃に対し、被害を最小限に抑えるための対応を検討・実施する。
復旧 被害調査、被害の回復作業、攻撃 ( 手法・経緯・原因 ) の分析を実施し、次の攻撃を防ぐ体制を再構築する。

ISMS ( ISO27001 ) はサイバー攻撃について、「侵入をさせない」ことを重視しています。この考えはセキュリティ対策において必須ですが、サイバー攻撃の多様化に伴い、どんなに強固なセキュリティでも完全な防御は極めて困難と言えます。

こうした現状の中、NIST SP800-171 はサイバー攻撃によって侵入されることを前提に、いかに早く「侵入を検知→攻撃への対応→被害からの復旧」という対策をとるか、といったことまでを網羅しています。サイバー攻撃を受けてから、解決に向けたシナリオを明確にすることが重要で、その結果、被害による影響を極小化することを最大の目的としています。

NIST SP800-171 の日本への影響

2016年10月、米国防総省は自分たちと取引を行うすべての企業に対して、「NIST SP800-171に準拠したITシステムを利用し、機密情報およびCUI ( 機密情報に含まれない重要情報 ) を扱わなければならない」との通達を出し、2017年12月31日までに順守するように徹底しました。

これにより2018年1月以降、米国政府調達にかかわるすべての納入される製品、技術、サービスは、NIST SP800-171の条件を満たす必要が生じました。 これは米国内の企業だけでなく、米国防省と取引がある全世界の企業が対象になります。

日本でも2019年度から防衛省との取引がある約9,000社の企業を対象に、NIST SP800-171相当のセキュリティ対策を求める新防衛調達基準の試行導入を開始するとしました。

防衛産業以外にも「NIST SP800-171」の適応分野が拡大すれば、アメリカ企業とビジネスを行う多くの日本企業が「NIST SP800-171」への遵守を求められます。今後は電気、ガス、金融といった重要インフラや、自動車、農業などのその他産業への拡大が予想されます。

最後までお読みいただき、ありがとうございました。