サイバーセキュリティフレームワークと他の基準等との関係

政府機関においてはサイバーセキュリティ戦略本部により、政府機関等の情報セキュリティ水準を向上させるための統一的な枠組みとして、統一基準が定められており、政府機関等や政府機関等全体において統一基準に基づくサイバーセキュリティに係るPDCAサイクルを適切に運用することで、情報セキュリティの確保を図っている。

また、民間において広く活用されている、組織における情報セキュリティマネジメントシステムに関する国際規格であるISO/IEC27000シリーズが存在している。

これらの基準等はサイバーセキュリティフレームワークと共通点があるが、本節においては政府統一基準も含め、類似の情報セキュリティに関する基準等との関係について言及する。

統一基準との関係

政府機関等が準拠すべきサイバーセキュリティに関する基準として、政府統一基準がサイバーセキュリティ基本法に基づき定められている。統一基準は政府機関等のサイバーセキュリティ水準を向上させることを目的に、情報セキュリティのベースラインや、高い水準の情報セキュリティを確保するための対策事項を規定しており、組織はPDCAサイクルの中でサイバーセキュリティを確保することが求められている。政府統一基準は、行政という特定の業態において、標準的な業務とそのリスクに応じた対策が策定されていることを考慮すれば、統一基準への準拠性評価により組織におけるサイバーセキュリティリスクアセスメントが可能である。

政府機関が自身のサイバーセキュリティ態勢を構築・改善する際、統一基準で定めるベースラインに準拠することは前提となるが、その際、サイバーセキュリティフレームワークを活用することで、サイバーセキュリティに係る5つの機能「識別」「防御」「検知」「対応」「復旧」の観点で、サイバーセキュリティ対策を捉えることが可能となる。各機関におけるサイバーセキュリティ態勢について、サイバーセキュリティフレームワークにおけるコアのカテゴリ及びサブカテゴリと照らし合わせ、どの程度達成されているかを検証することで、改善が必要なものを明確化し、組織におけるリソース分配の優先順位付けや対策実施時の取捨選択を行う際の情報として活用することが期待される。

その他の基準等との関係

サイバーセキュリティフレームワークとISO/IEC27000シリーズは、組織のサイバーセキュリティリスクマネジメントを改善するという目的において共通している。ISO/IEC27000シリーズは、情報セキュリティマネジメントシステムに関する規格群であり、電子情報のみならず、情報システム、記録媒体、紙や無形の情報も含めた、組織が保護すべき情報資産を管理するための枠組みを提供している。他方、サイバーセキュリティフレームワークは、情報技術、産業用制御システム、サイバーフィジカルシステム、或いはIoTといった重要インフラをサイバー攻撃から保護することに主な焦点を当てている。組織がリスクを識別、評価し、それに基づいてセキュリティ対策を選択し、優先順位を付け、導入し、継続的に改善するという一連のアプローチを提供している点では共通しているが、サイバーセキュリティフレームワークはその保護対象や脅威を具体化したものであるといえる。

また、サイバーセキュリティフレームワークは、サイバーセキュリティリスクマネジメントを行うプロセスについて、具体的な手法を指定しておらず、手法の一例として、ISO31000,ISO/IEC27005,NIST SP800-39等を示すにとどめている。これらのガイドラインでは、情報資産の重要度、脅威、脆弱性からリスクを分析し、対応、モニタリングする手法を示している。

また、他の基準等と比較し、サイバーセキュリティフレームワークは対応、復旧の領域においてより具体性を高めていることが特徴としてあげられる。これは、昨今よく言及されるように、サイバーセキュリティに対する脅威が高度化・複雑化すると共に、重要インフラの情報技術等への依存度が増していることを踏まえ、重要インフラがサイバーセキュリティの脅威に曝された場合においても、継続的な機能や障害発生時の早期復旧が重要であるという認識に基づくものだと考えられる。

参考資料1 サイバーセキュリティフレームワークと政府統一基準の対応関係

 

 本文書では、サイバーセキュリティフレームワークの各カテゴリと政府統一基準の項番単位での対応関係を示すため、サイバーセキュリティフレームワークと政府統一基準の関係を表として整理した。政府機関等の各組織は、統一基準で定めるベースラインに準拠することが求められるが、サイバーセキュリティフレームワークを適切に導入することで、各組織におけるサイバーセキュリティ態勢を改善することが可能となる。

当該活動の中で、下表を活用する事でサイバーセキュリティフレームワークを導入する上で、各カテゴリの記載事項について、統一基準上の要求事項を参照しながら、カテゴリやサブカテゴリの内容を選択することが可能となる。

 他方、サイバーセキュリティフレームワークはあらゆる業種・業態について、包括的なものではないため、政府機関等の各組織において、追加のカテゴリ、サブカテゴリ、参考情報を追加することも可能である。そのため、組織の特性に応じて追加のカテゴリ等が必要な場合は、適宜拡張して利用することを推奨する。

 なお、サイバーセキュリティフレームワークコアの全容については、独立行政法人情報処理推進機構より公開されているものを参照されたい。

参考資料2 参考文献

  1. National Institute of Standards and Technology - Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.04162018.pdf

  2. National Institute of Standards and Technology - Success Story: Israel National Cyber Directorate Version 2.0 https://www.nist.gov/cyberframework/success-stories/israel-national-cyber-directorate-version-20

  3. IPA – 重要インフラのためのサイバーセキュリティを改善するためのフレームワーク https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000071204.pdf

  4. CIS-Sapienza, Cybersecurity National Lab – National Framework for Cyber Security https://www.cybersecurityframework.it/

  5. UK Government – The Minimum Cyber Security Standard https://www.gov.uk/government/publications/the-minimum-cyber-security-standard