サイバーセキュリティーのフレームワーク
今回はサイバーセキュリティーを考える時の枠組みについて見てみたいと思います。一口にサイバーセキュリティー対策と言っても様々な仕事があり、それらを実際に行う作業別に分けた物になります。分析から予防、そして実際に攻撃を受けた場合の対処という順番でリスクを管理しています。
元の出所は米国の国立標準技術研究所(NIST)ですが、日本のIPA(情報処理推進機構)が翻訳版を出しています。
セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構
(↑一番下の[その他のNIST文書]です)
[出典:重要インフラのサイバーセキュリティを向上させるためのフレームワーク]
例をあげて少し細かく見てみます。例えばDEの「検知」で「セキュリティの継続なモニタリング」とあります。この中にはさらに細かいサブカテゴリーが存在します。その中の一つ「DE.CM-4: 悪質なコードを検出できる。」を見てみると、関連項目は以下の通りになります。
- CCS CSC 5
- COBIT 5 DSS05.01
- ISA 62443-2-1:2009 4.3.4.3.8
- ISA 62443-3-3:2013 SR 3.2
- ISO/IEC 27001:2013 A.12.2.1
- NIST SP 800-53 Rev. 4 SI-3
この中で「ISO27001」とは、ISMSと言われているごく一般的な情報セキュリティの規格です。つまりサイバーセキュリティー対策と言っても、一部はこれまで行ってきた情報管理の延長線上にある物と言えるかと思います。
次回は日本以外の国がどのように対処しようとしているのか見てみたいと思います。特にサイバー攻撃の標的となった国は対策が進んでいるように見えます。