編集部からのお知らせ
新着記事まとめPDF「IBM分社のキンドリル」
ZDNet Summit 2021開催のご案内

これから必要なのは侵入後の対応策--今取るべきセキュリティ対策の本筋

倉橋孝典 (クニエ)

2020-10-08 07:15

 前回は、新型コロナウイルス感染症に伴い発生した急激なテレワーク推進により、これまで企業が当然のように導入してきた境界型ネットワーク構成の限界が市場で議論されていると説明した。

 今回は、独立行政法人情報処理機構(IPA)が翻訳、監修し、市場の注目を集めるとともに多くの企業が活用を始めている米国国立標準技術研究所(National Institute of Standards and Technology:NIST)の「Cybersecurity Framework Version 1.1」(NIST CSF、PDF)をもとに、そもそも企業に求められるサイバーセキュリティ対策がどのようなものなのか、を考察する。

デファクトスタンダードでの備えを

 企業がとるべきサイバーセキュリティ対策とは何かを一言で言うなら、「デファクトスタンダードに準拠する」ことである。今回考察するNIST CSFは、50%の米国組織が採用していると言われ、まさにセキュリティフレームワークのデファクトスタンダードと言って良い。日本では、依然としてISO27001情報セキュリティマネジメントシステム(ISMS)の普及率が高いが、グローバルで見ると標準はNIST CSFに切り替わっている。

 よって、NIST CSFをベースラインとして、規程、体制、環境を整えることが、企業のとるべきサイバーセキュリティ対策そのものであり、前回述べた境界型セキュリティの限界に対する各企業が採るべき方向性とも言える。コロナ禍でワークスタイルが変化している今こそ、改めてサイバーセキュリティ対策の再考を図るべきではないだろうか。

 今回は、NIST CSFを中心に考察していくが、各企業の規程や細則、マニュアルなどを整備していく過程では、その下位概念も各企業の対策の整備状況に応じて活用していく必要がある。(図1

図1:CSFとその下位概念(出典:クニエ) 図1:CSFとその下位概念(出典:クニエ)
※クリックすると拡大画像が見られます

NIST CSFのポイント

 NIST CSFの最新版は、2018年4月に改訂されたバージョン1.1である。日本企業の多くがベースラインとしているISO27000(ISMS)シリーズが侵入前の機能に重点を置いているのに対し、NIST CSFは、侵入前から侵入後を定義した、汎用的かつ体系的なサイバーセキュリティフレームワークである。(図2

 NIST CSFは、「フレームワークコア」「フレームワークインプリメンテーションティア」「フレームワークプロファイル」の3要素で構成されているが、今回はこのうち、セキュリティ対策の中核である「フレームワークコア」のポイントを述べる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]