CRSAシステムの導入方針

CRSAシステムの概要

CRSAとは、サイバー攻撃等のリスクから情報システムを守るために導入された「必要なコントロール」(管理策)が、その目的とする機能を達成することを確実にするための仕組みである。すなわち、「必要なコントロール」と対象となる情報システムの「実際の状態」の差異を「ギャップやリスク」として「可視化」し、常時モニタリング(診断)を行い、必要に応じて「是正対応」を促す活動(対処)を継続することにより、「必要なコントロール」からの逸脱を防止するための仕組みである。

CRSAの概念図を以下に示す。

CRSAは、組織のセキュリティポリシー等に準拠するために情報システムに導入された必要なコントロール(管理策)に関して、以下を実施する。

  • リスク診断:必要なコントロールと実際の状態とのギャップやリスクを可視化

  • 対処:可視化されたギャップやリスクの是正対応

  • 常時:ギャップやリスクの可視化と是正対応を継続的に実施

CRSAは、ポリシーからの逸脱を発見し、迅速かつ計画的にその是正を図ることによって政府のシステムを予防的にセキュアにすることを目指している。CRSAは、資産管理や脆弱性のみならず、クレデンシャルの管理状況、ネットワーク内の監視体制の健全性、データの保護の状況(例えば、許可されていないところにデータが保存されていないことなどを含む。)なども常時診断の対象としていくものである。

CRSAシステムの概要図を以下に示す。

図 2‑2 CRSAシステムの概要図

CRSAシステムは、政府横断GSOシステムと各府省のASOシステムに大別される。ASOシステムは、PC、ユーザ、クラウドの状態等の組織の資産に関する情報を収集してASOリポジトリに蓄積し、資産の構成及びソフトウェアコンポーネントに内在する潜在的リスクを可視化し、ASOダッシュボードに表示することにより、各府省における是正活動を支援する。

さらに、ASOリポジトリに蓄積された情報は、統計処理を実施したうえで政府横断GSOシステムと連携する。GSOリポジトリでは、各府省から送付された各省の統計情報をもとに、政府横断での潜在的リスクを可視化し、GSOダッシュボードに表示することにより、政府横断での是正活動を支援する。GSOダッシュボードにおいて検知された問題点については、GSO担当者から各府省のASO担当者に対処が依頼され、ASO担当者において対処が成される。

政府横断GSOシステムは、情報システムの運用等におけるセキュリティポリシー等からの逸脱を発見することなどを目指している。例えば、端末で適切なパッチが適用済みのオペレーティングシステムが実行されているか、組織が承認したソフトウェアコンポーネントの完全性が保たれているか、承認されていないコンポーネントが存在していないか、資産に既知の脆弱性がないか等、リソースへの接続要求を行う資産に関する情報などを包括的に監理する。将来的にはゼロトラストアーキテクチャにおけるポリシーエンジン(ポリシーに違反した情報を発見し、事前に定義されたアクションを実行する機構)にそれらの情報を提供する役割を担っていくことを想定している。

CRSAシステム導入の目的と効果

CRSAシステム導入の目的と効果を以下に示す。

  1. 統一基準群等に準拠したコントロール(管理策)からの逸脱の迅速な把握と是正対応

  • CRSAシステムは、サイバーセキュリティ対策に必要なコントロールの実施状況を継続的にモニタリングできるため、どこが不適切な状態になっているかを迅速に把握し、是正対応を実施することができる。

  1. インシデント発生時のトリアージ等の効果的な対応

  • CRSAシステムは、リアルタイムに自組織の資産状況、脆弱性対応状況等を把握できるため、インシデント発生時の資産等への影響規模や対応の優先度について迅速に判断できるようになる。

  1. リアルタイムデータによるセキュリティ対策実施状況の効率的な報告

  • CRSAシステムを導入した組織は、リアルタイムな資産状態、アカウントの利用状況、インシデントの発生状況などを把握できる。これにより、サイバーセキュリティ対策状況を客観的かつ効率的に報告できるようになる。政府全体としては、各組織のサイバーセキュリティ対策状況を各組織に負担をかけることなく効率的に把握できるようになる。

  1. 脅威やインシデントに対する政府横断的な脆弱箇所の迅速な発見と是正対応

  • CRSAシステムは、特定の脅威情報やインシデントに関する情報をもとに、影響のある箇所やインシデントの発生する可能性のある箇所を政府横断的に特定できるため、迅速かつ効果的に対処できるようになる。

  1. ゼロトラストアーキテクチャの運用環境を適切に維持
  • ゼロトラストアーキテクチャの具体的な実装・運用においては、ネットワーク上の各デバイスでの脆弱性対応状況等を把握することにより、システム全体の健全性を把握し、維持していく必要がある。CRSAシステムにおける診断結果は、ゼロトラストアーキテクチャにおけるポリシーエンジンのインプット情報としても活用できる。

CRSAシステムの位置づけ

CRSAシステムは、政府機関が継続的にサイバーセキュリティ体制を強化・向上させる上で必要な仕組みを提供することを目的としたシステムである。次の図は、NIST SP800-207に掲載された、ゼロトラストアーキテクチャの論理的構成要素を示している。

. NIST Special Publication 800-207より転記

図 2‑3 ゼロトラストアーキテクチャの論理的構成要素

この図は、ゼロトラストアーキテクチャを構成している論理コンポーネント間の関係を示した概念図であり、米国連邦政府機関におけるCDM(Continuous Diagnostic and Mitigation)システムが、ゼロトラストアーキテクチャにおける参照リソースとして位置づけられている。CRSAシステムは、この図におけるCDMシステムに相当する。

CRSAシステムは、組織の資産に関する情報を収集し、デバイスやソフトウェア等のセキュリティ構成や脆弱性対応の適正化を支援することにより、組織のネットワークとシステムのサイバーセキュリティを強化するための仕組みを提供する。またCRSAシステムは、使用しているオペレーティングシステムにおいて適切な修正プログラムが適用されているかどうか、組織が承認したソフトウェアの完全性や承認されていないソフトウェアの存在、資産に既知の脆弱性があるかどうか等、接続要求を行う資産に関する情報をアクセス制御に適用する役割を担っている。

CRSAシステムの考え方

情報システムを保護するために、組織は、情報システムに係わる様々な事象を検知し、把握するためのプロセスを構築し、情報システムに潜在している脆弱なポイントを診断し、これに対処する能力を有する必要がある。CRSAシステムはこの内、情報システムに係わる事象を検知、把握することにより、情報システムに係わる脆弱なポイントを診断する役割を担う。以下、CRSAシステムの導入において、情報システムを保護するために検知、把握すべき事象についての考え方を示す。

(1)何がつながっているのか?

情報システムにおいて、どのようなデバイス、ソフトウェア、及びクラウドサービス等の外部サービスが利用されているかを把握する。これには、脆弱性や脅威が発見された際に、これらのセキュリティ対策の実行状況を確認し、必要に応じて改善策を講ずることが含まれる。

(2)誰がネットワークを使用しているか?

ネットワークの利用者がどのような組織に所属しているか、または利用者がどのような権限を持っているか等、利用者の属性を把握する。

(3)システムやネットワークで何が起こっているのか?

システムやネットワークにおいてどのような通信が発生しているかを把握する。これには、リスクのある通信が発見された際に、必要に応じて改善策を講ずることが含まれる。

(4)データはどのように保護されているか?

情報の保存時、転送時、及び利用時にどのように保護されるかについて、どのように保護されているかを把握する。

CRSAシステムの導入

ゼロトラストアーキテクチャの環境下においては、組織がその資産(物理的及び仮想的)、主体(ユーザ権限を含む)、業務プロセスに関する詳細な情報を保持している必要がある。この情報は、各種の資産及び主体からのアクセス要求を制御する際に必要となるものであり、この情報が不十分であれば、適切なアクセス制御を実施することが困難になる。このためCRSAシステムは、この情報が十分なものであるかを評価するための仕組みと捉えることができる。また、組織にゼロトラストアーキテクチャを導入する際には、事前準備として、資産、主体、データフロー、業務フローの調査を行う必要がある。ここでのデータフローとは、アクセス制御に必要となる資産や主体に係る属性データの流れのことであり、業務フローとは、資産や主体がアクセスの対象とするリソースに到達するまでに経由する業務機能の流れのことである。この事前準備は、ゼロトラストアーキテクチャを導入するうえで非常に重要なプロセスである。組織は、現在の運用状況を把握していなければ、どのような新しいプロセスやシステムを導入する必要があるのかを判断することはできない。CRSAシステムは、この調査プロセスを継続的に実施する機能を担っている。このため、CRSAシステムの導入は、ゼロトラストアーキテクチャの維持において不可欠のものであると言うことができる。

ゼロトラストアーキテクチャを実現するための道筋は、図2-4のように表現できる。

NIST Special Publication 800-207より転記

RMF: Risk Management Framework

図 2‑4 ゼロトラストアーキテクチャの展開サイクル

CRSAシステムは、この図に示された一連の展開サイクルにおいて、現状把握を支援するものと位置づけられる。すなわち、ゼロトラストアーキテクチャの展開サイクルにおいて、CRSAシステムは、情報システムの運用におけるフィードバックを基に、常時かつ継続的に情報システムを構成するデバイスとその利用者の状態を把握するためのものであり、リスクアセスメントに基づくポリシー開発を促すための仕組みを提供する。