リスクを軽減するサイバーセキュリティのトップフレームワークとは
2024年2月27日
デジタルトランスフォーメーションの進化により新たなサイバー攻撃ベクトルが出現し、サイバー犯罪者の攻撃がより大胆になるにつれ、重要インフラに対するサイバー脅威はさらに一般化しています。このように意図的な標的型攻撃により、重要インフラ組織は自社のサイバー健全性をより詳細に検討するようになっています。しかし、多くの組織はサイバーセキュリティー強化の必要性を理解しているものの、サイバーフィジカルシステム(CPS)を保護するために設計された新たな業界規制や標準の理解、遵守することとなると、いまだに困難があります。このような場合に、サイバーセキュリティフレームワークが役立ちます。
サイバーセキュリティーフレームワークとは何か?
通常、サイバーセキュリティーフレームワークとは、組織がサイバーセキュリティー態勢強化のために利用可能な構造化されたガイドラインや、ベストプラクティス、一連の基準のことを指します。サイバーセキュリティーフレームワークのゴールは、サイバー攻撃から組織を守るための体系的かつプロアクティブなアプローチの確立であり、サイバーセキュリティーの脅威やインシデント特定、保護、検出、対応、回復するための包括的なアプローチを提供することにより行われます。サイバーセキュリティーフレームワークに準拠することにより、組織は独自のニーズに合わせた、柔軟で拡張可能なロードマップを作成し、進化する脅威に向けて迅速に対応することが可能です。
また、サイバーセキュリティーフレームワークを活用することにより、組織は自社のサイバーセキュリティーを業界のベンチマークに合わせることも可能です。これは、業界の規制や標準に規定された、時に理解しにくい要件を遵守するのに役立ちます。また、サイバーセキュリティーフレームワークは、リスクの特定、評価、軽減における組織の指針ともなります。以下に説明するサイバーセキュリティーフレームワークに概説されている、推奨される管理策とリスク管理プロセスを実施することにより、組織はリスクの評価と軽減を義務付ける業界規制への準拠を証明することも可能です。最後に、サイバーセキュリティーフレームワークの継続的な改善と監視を奨励し、組織はプロアクティブなセキュリティー対策の必要性を強調する業界規制や標準の期待に応えることが可能です。
トップサイバーセキュリティーフレームワークとは?
1. NISTサイバーセキュリティーフレームワーク
NISTサイバーセキュリティーフレームワークは、米国政府の行政命令を受けてNISTが開発した一連のガイドラインとベストプラクティスです。NISTサイバーセキュリティーフレームワークの意図は、組織がサイバーセキュリティーのリスクを管理および軽減可能にすることです。また、組織がサイバーセキュリティーに対する意識と準備を向上させるための柔軟な出発点として、5つの中核的機能(識別、保護、検知、対応、回復)を分類しています。さらに、組織内の特定の部門やプロセスに対して、より具体的な行動計画を提供するカテゴリやサブカテゴリも含まれています。NISTガイドラインに従うことは、米国政府機関および米国政府と取引を行うあらゆる組織にとって必須事項です。しかし、このフレームワークは、官民を問わずサイバーセキュリティー態勢を懸念するすべての組織が採用すべきものです。NISTサイバーセキュリティーフレームワークの導入により、防御の強化や、業務の安全性維持、さらに既存の業界規制や標準に準拠するために必要なサイバーセキュリティの実践と能力構築から、リスクを軽減することが可能です。
2. ISO/IEC 27001
ISO/IEC 27001は、情報セキュリティーマネジメントシステム(ISMS)のための世界的に有名な規格です。この規格は、重要インフラ組織がリスクを認識し、弱点を積極的に特定し、対処するのに役立ちます。ISO/IEC 27001により、重要インフラ組織は、財務データや従業員・顧客の個人情報を含む機密情報の機密性、完全性、可用性を管理・保護するための包括的な枠組み確立が可能です。IEC62443と同様に、ISO/IEC 27001は、DHSや欧州連合(EU)の一般データ保護規則(GDPR)など規制要件への準拠にも役立ちます。全体的に、この包括的なサイバーセキュリティーフレームワークを導入することにより、組織は機密情報をサイバー脅威から保護し、安全で堅牢な運用環境維持が可能となります。
3. ISA/IEC 62443
ISA/IEC 62443は、電子的に安全な産業用オートメーションおよび制御システム(IACS)の実装および維持のための要件とプロセスを定義する一連の規格です。ISA/IEC 62433規格は、OTネットワークと産業用制御システム(ICS)オペレータにとって、サイバーセキュリティーの重要な情報源です。この規格は、安全な制御システムへの全体的なアプローチを確保し、OTサイバーセキュリティーへのリスクベースのアプローチを取るために、技術、作業プロセス、および対策を考慮しています。ISA/IEC 規格は、サイバーセキュリティーの基本を定めており、この規格を採用することにより、組織はICSを保護するため必要なリスク評価プロセスを定義し、独自のビジネスとリスクのニーズを満たすために必要なセキュリティーレベルを決定することが可能です。OT保護の基礎として、ISA/IEC規格に従うことで、組織は既存のセキュリティーギャップに対処することが可能となり、業界と規制の準拠につながります。
4. MITRE ATT&CK (マイターアタック)
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)フレームワークは、敵対者の攻撃ライフサイクルの様々な段階と、標的としているプラットフォームを反映した敵対者の戦術と技術のリポジトリです。MITRE ATT&CK フレームワークは、OTとITのセキュリティー実務者が、ICS侵害の前後における敵対者の行動をよりよく理解し、説明できるようにすることを目的としています。MITRE ATT&CKフレームワークには3つの反復があります。1つ目は企業向け、Windows、MAC、Linux、クラウド環境における敵対的な振る舞いに焦点を当てています。2つ目はモバイル向けで、iOSとAndroidオペレーティングシステムにおける敵対行為に、そして、3つ目はICSネットワーク内で敵対者が取る可能性のある行動記録に焦点を当てています。このフレームワークは、侵入検知、脅威ハンティング*1 、セキュリティーエンジニアリング、脅威インテリジェンス*2 、レッドチーミング*3 、リスク管理など、さまざまな分野において世界中で活用されています。最終的には、サイバーセキュリティー戦略の強化を目指す組織に対して、包括的かつ最新のサイバー脅威情報を提供します。MITRE ATT&CKのナレッジベースは定期的に更新され、フレームワークに反映されるため、組織はサイバーセキュリティー態勢を継続的に改善し、業界の規制を遵守することが可能です。
トップクラスのサイバーセキュリティーフレームワークと連携し、業界規制に準拠する方法とは?
サイバーセキュリティーフレームワークは、サイバーとオペレーションのレジリエンスを高めるための重要な基盤となります。しかし、フレームワークそれぞれの複雑さを理解し、フレームワーク同志を整合させることは困難です。クラロティのようなCPSセキュリティーベンダーと協力することにより、重要インフラ組織は適切にセキュリティ管理を実施し、セキュリティー管理の有効性についてモニタリングと評価、改善領域の特定、そして選択したサイバーセキュリティーフレームワークとの整合性を確保するためのインシデント対応計画策定と実施を確実に行うことが可能となるでしょう。クラロティは、組織がICSとOT環境間を深く可視化することをサポートします。また、このことはブログで取り上げた通り、サイバーセキュリティのフレームワークが要求するリスク評価とコントロール実施に不可欠です。クラロティプラットフォームを導入することにより、組織はICSとOTシステムに関連するリスクを評価が可能となり、サイバーセキュリティーのフレームワークに沿って、改善の取り組みとコントロール実施に優先順位をつけることが実現します。加えて、クラロティは継続的なモニタリングのために、高度な分析と機械学習技術を活用しており、この検知機能は、多くのサイバーセキュリティーフレームワークのプロアクティブなモニタリング要件と一致しています。クラロティの一連のソリューションは、サイバーセキュリティーのフレームワークにおけるインシデント管理ガイドラインを遵守するために不可欠なインシデントレスポンスとミティゲーションを促進しています。
OT資産、ビル管理システム(BMS)、ICS、接続された医療機器、その他の重要な資産を含むすべてのCPSに堅牢なサイバーセキュリティー制御を拡張することにより、クラロティは組織がサイバーセキュリティーのフレームワークと整合し、業界の規制や標準に準拠することを支援します。この広範なサイバーセキュリティーポートフォリオは、既存のITセキュリティーツールやワークフローを活用し、シームレスに統合することで、業界標準や規制の要件をサポートし、簡素化します。クラロティは組織がサイバーセキュリティーのフレームワークを実装し、規制要件を遵守することで、リスクを削減し、サイバーセキュリティーへの道のり全体を通して回復力を確保します。
*1 脅威ハンティング:脅威アクターを追跡し、組織のインフラ内の脆弱性を発見し、実際の損害が発生する前にネットワークを防御しようとするプロセスのこと。
*2 脅威インテリジェンス:様々なサイバーセキュリティーの脅威について収集、分析、蓄積した情報の総称。スレットインテリジェンス(CTI)とも呼ばれる、脅威ハンティングとの違いとして、潜在的な脅威と既に発生した攻撃の両方が含まれる。
*3 レッドチーミング:組織のサイバーセキュリティーを強化する目的で、敵を装い、組織に対してデジタル侵入や攻撃を行うグループのこと。
◾️クラロティ公式製品ページ◾️