サイバーセキュリティフレームワーク導入に向けたプロセス
本章では、各機関がサイバーセキュリティフレームワークを導入する上での具体的なプロセスを示す。紹介するプロセスは、次の7ステップから構成されており、各ステップでステークホルダーが担う役割と実施内容、実施する上で留意すべき点をまとめる。
準備編
本節では、組織がサイバーセキュリティフレームワークを導入するにあたり、事前に準備すべき事項を示す。
コミュニケーションの調整機能を確保する
包括的なサイバーセキュリティ態勢を構築するためには、組織における意思決定者レベル、管理者レベル、業務の実施/運用者レベルでコミュニケーションを行い、リスクマネジメントに関する意思決定と対策の実施を図る必要がある。各レベル間でのコミュニケーションが円滑に実施されるよう、事務局的な位置づけを設置することで、意思決定者レベルから業務実施/運用者レベルまでの調整機能を確保することが重要となる。
意思決定者を特定する
組織のリスクマネジメントプロセスにサイバーセキュリティリスクを組み込むことに関する意思決定を行い、リスクベースで業務全体の中から優先順位の高い業務を判断するなど実質的な意思決定が可能な環境を構築することが重要であり、そのための意思決定者を特定することが必要不可欠となる。
情報収集機能を確保する
組織の資産に対する脅威と情報システム等の脆弱性を識別するために、脅威・脆弱性情報が利用可能である必要があるため、当該情報を継続的に入手するための体制を確保することが重要となる。一般的には、組織のCSIRTが平時の業務として当該機能を担うことが想定される。
導入編
本節では、各組織において政府統一基準や各組織のセキュリティポリシー等に従い、サイバーセキュリティリスクマネジメントプロセスが既に整備されていることを前提とし、既存プロセスを強化、改善する方法としてサイバーセキュリティフレームワークを導入する際の具体的なプロセスについて解説する。当該プロセスは一時的な活動ではなく、定期的かつ継続的に実施するものとして位置付けることで、サイバーセキュリティに関する継続的な改善が可能となる。
業務の優先順位付けを行い、範囲を明確化・決定する
サイバーセキュリティフレームワークを導入し、サイバーセキュリティに関する改善を行う対象を業務単位で決定する。なお、行政サービスへの影響が軽微な業務については導入の優先順位を劣後させる、または導入の対象外とすることが考えられるが、それ以外は原則、各機関全体を対象とする。
対象となるスコープを詳細化する
1)において絞り込んだ対象業務に対して、関連する情報システムと資産、規制上の要求事項、全体的なリスクアプローチから脅威と脆弱性を特定する。
「現在の姿」についてプロファイルを作成する
コアのサブカテゴリ単位で組織の現状について簡易分析を行い、現時点での達成状況を示すプロファイルを作成する。なお、既存のリスク評価結果が存在する場合、既存の評価項目とサイバーセキュリティフレームワークのサブカテゴリのマッピングを行うことなどにより、既存のリスク評価結果を活用することが考えられる。既存のリスク評価結果において、サイバーセキュリティフレームワーク上の項目が存在しない等の理由により、マッピングが困難な場合には、当該項目についてはサイバーセキュリティフレームワークのサブカテゴリに基づいてあらためて簡易分析を実施することが望ましい。
リスクアセスメントを実施する
2)で特定した対象の情報システムとそれに関連する脅威、脆弱性からサイバーセキュリティ事案が発生する可能性とその影響、および自組織における重要システムを特定する。既存のリスクアセスメント結果が存在する場合、当該アセスメント結果を活用することも考えられる。
「あるべき姿」についてプロファイルを作成する
4)の結果に基づき、保有する情報システムや資産を踏まえた目標のティアおよびプロファイルを決定する。ティア3は、一般的に「あるべき姿」を策定する上での1つの指標となると考えられるが、情報システムの重要性や、情報セキュリティ事案発生時の影響度やリスクの受容度に応じて、ティアは柔軟に設定することが可能である。
「現在の姿」と「あるべき姿」についてギャップを分析し、優先順位付けを実施する
プロファイルについて、「現在の姿」と「あるべき姿」を比較し、両プロファイル間のギャップを分析する。「あるべき姿」のプロファイルを達成するために解消するべきギャップについて、何を取り組んでいくのか、優先順位をつけながら行動計画を策定する。 優先順位の検討にあたっては様々な視点で多角的にギャップを分析することが望ましい。例えば、セキュリティ対策を実施する上での実現可能性、人的・金銭的・時間的コスト、ギャップが引き起こすセキュリティリスク、既に計画・実施中のセキュリティ対策との親和性などの観点考えられる。また、同種の組織と比較を行う事で、自組織のセキュリティ対策の過不足を明らかにし、同種組織の標準的な水準を満たしていないセキュリティ対策を優先的に強化するという考え方もある。 行動計画は、サイバーセキュリティに係る意思決定を行う委員会等で審議し、組織の共通の課題として広く認識を図ることが重要である。
策定した行動計画を実施する
6)において策定した行動計画に従い、サイバーセキュリティ対策に関する改善を行うための具体的な取り組みを実施する。また、計画の進行に伴い定期的かつ継続的に再評価を実施し、「現在の姿」のプロファイルを更新・把握することで、「あるべき姿」のプロファイルとの間のギャップが解消していくようフォローアップしていくことも重要である。再評価は外部環境(脅威や規制上の要求事項など)および内部環境(体制やシステムなど)に大きな変更があった場合、あるいは定期的実施の観点では少なくとも1年に1回以上実施する事が望ましい。
サイバーセキュリティフレームワーク導入時の留意点
ティア4を組織の目標にする必要は無い
サイバーセキュリティフレームワークにおいては、最高位のティア4を全ての組織目標にする必要はなく、組織における業務や情報システムの重要性等に応じて、適切なティアを設定することが重要となる。サイバーセキュリティに関する取り組みが先進的な組織であっても、すべてのコアでティア4を達成することは困難であり、現実的には3かあるいはそれ以下の目標値が設定されることも少なくないと考えられる。したがって、サブカテゴリで示されるすべての管理策について網羅的に対応し、かつ、すべての管理策をティア4に設定するアプローチは現実的ではない。行動計画の実施フェーズにおいて、組織特性や求められるセキュリティ対策のレベル等を踏まえたうえで残存リスクについて、リスクを許容するのかどうか、あるいは代替策を講じるのかどうかなど、実現可能な対応を検討していくことが重要である。
フレームワークはツールとして活用し、既存プロセスを改善する
サイバーセキュリティフレームワークは、既存のサイバーセキュリティリスクマネジメントプロセスを改善するためのツールであり、サイバーセキュリティリスクマネジメントそのものを代替するものではないという点については留意する必要がある。すなわち、サイバーセキュリティフレームワークを導入する事で、政府統一基準や組織の情報セキュリティポリシーに従ったリスクマネジメントを実施することが不要となるわけではない。サイバーセキュリティフレームワークは、サイバーセキュリティリスクマネジメントに関するベストプラクティスとしてのツールであり、既存のリスクマネジメントプロセスを補完する形で、現在から将来的にどのような形でサイバーセキュリティ対策を講じていけばよいのかどうかを明らかにしていくための取り組みの中で、採用する手段の1つであることを認識することが重要である。
外部評価を活用し、客観的な現状分析を行う
「現在の姿」をプロファイルする際に、自己評価を行う場合、近視眼的な評価結果となることは否めない。そのため、プロファイルを作成する際の簡易分析は、外部評価を活用することも考えられる。一般的に、外部評価を採用した場合、導出されるプロファイルは評価が低くなる傾向にある。
組織の特性に応じてコアやプロファイルを最適化する
サイバーセキュリティフレームワークで定めるコアは、あくまで重要インフラにおいて適用される汎用的な管理策であり、実際に組織で導入する際には、組織の特性を踏まえて管理策の最適化や、追加・削除を検討することが重要であることにも留意したい。当然、ティアやプロファイルにおいても組織特性を考慮した上で策定する必要がある。