サービス
NISTフレームワークの導入と関連するサイバーセキュリティ規格への対応
「基準対応支援」に留まらない、総合的なコンサルティングサービスの提供
技術の進歩やサイバー攻撃による脅威などサイバーリスクの増加に伴い、自組織のセキュリティ管理態勢の向上が多くの企業で喫緊の課題となっています。デロイト トーマツのNIST対応コンサルティングは、自組織へのNISTフレームワークの導入やNIST規格への対応・整合を要望される民間企業のお客様に、総合的なコンサルティングを提供します。デロイト トーマツの目標は、NIST関連のあらゆる対応を通して、単なる「基準対応支援」に留まらない、お客様のサイバーセキュリティに係る概念レベルの変革を支援することです。
NISTフレームワークの導入と関連するサイバーセキュリティ規格への対応
デロイト トーマツでは、その経験とリーディングプラクティスを応用して、NISTフレームワークの導入と、その他サイバーセキュリティフレームワークへの対応を支援します。
NISTサイバーセキュリティフレームワークコアは、各重要インフラストラクチャーセクターで共通する、サイバーセキュリティ活動、求められる結果、該当する参考情報で構成されています1。
NISTサイバーセキュリティフレームワークは、ハッキングやマルウェアへの感染など「攻撃を受ける」ことを根本的な考え方の前提とし、攻撃者が最終目的までは果たせないようにするための多層防御(defense-in-depth)・攻撃下におけるインシデント対応・通常運用に戻すための復旧という一連の5つのセキュリティ機能、すなわち、「特定」・「防御」・「検知」・「対応」・「復旧」で構成されています。これらの機能を一体として捉えることで、企業におけるサイバーセキュリティリスク管理のライフサイクルに関するハイレベルな戦略的な視点がもたらされます。このフレームワーク内にて提示される管理策は、ISO 27001、COBIT 5、CIS CSC、NIST SP 800-53などのセキュリティフレームワークにも対応しています。
NIST SP 800-171は、米国政府が指定する、機密情報ではないが重要な情報であるCUI(Controlled Unclassified Information:管理対象非機密情報)の保護を目的とし、CUIを処理・格納・伝送する米国政府外の情報システム及び組織に対するセキュリティ管理策を提示しています。
CUIは、2010年11月の米国大統領令(Executive Order 13556)により定義された重要情報ですが、その対象範囲や業界は幅広く、一般的な民間企業におけるSP 800-171への対応が不可欠となる可能性が極めて高い状況にあります。
米国では、防衛産業を中心に、調達規則への組込みや第三者認証制度の導入(CMMC)などにより、政府の調達プロセスにおいて民間企業に対するSP 800-171準拠の義務化を図っています。つまり、米国市場でビジネスを展開する日本企業は、SP 800-171に対応していなければ製品供給やサービス提供が許されないという事態に陥る可能性が高くなっています。
NIST SP 800-53では、汎用コンピューティングシステム、サイバーフィジカルシステム、クラウドシステム、モバイルシステム、産業用制御システム、プロセス制御システム、モノのインターネット(IoT)デバイスといった、さまざまな種類のコンピューティングプラットフォームのための幅広い保護措置が規定されています2。これらの保護措置には、企業の重要な基幹業務と資産、個人のプライバシーを保護するためのセキュリティ、プライバシーに関するコントロール手段が含まれます。保護措置は、以下の方針に基づいて設計されています。
• 私たちが依存している情報システムを、攻撃に対してより耐性が高いシステムにする
• 攻撃を受けたときに損害が大きくならないようにする
• システムの弾力性を高め、攻撃を受けてもシステムが生き残れるようにする
CMMCモデルは、主にNIST SP 800-171 r1をベースとして、2020年1月に公開されたものであり、連邦契約情報(FCI)と管理対象非機密情報(CUI)を保護することを主眼として設計されたものです。
CMMCでは、アクセス管理から状況認識に至るまでの17のサイバーセキュリティ領域が網羅されています。これらの領域は43の能力で構成されており、各能力は、さまざまなサイバーセキュリティフレームワークとリーディングプラクティスから導出された171のプラクティスによって裏付けされています。
CMMCモデルでは、5つの成熟度モデルが定義されています(例えば、レベル1では17のプラクティスしか要求されませんが、レベル5では171のプラクティスをすべて実施することが求められます)。
DoDの請負業者に求められる成熟度レベルは、請負業者が扱うDoD情報の機密レベルにより異なります。例えば、機密レベルが非常に高い情報を扱う企業は、レベル5の認証を取得しなければなりません。一方、機密レベルが最も低い情報を扱う企業は、レベル1の認証を取得すれば十分です3。
米国連邦政府によるリスクおよび認証管理プログラム(FedRAMP)は、リスクに基づきコスト効率の高い方法でクラウドサービスを導入・利用する手段を提供します4。2011年12月に制定されたFedRAMPは、連邦情報セキュリティ管理法(FISMA)に関する初の政府レベルのセキュリティ認証プログラムです。各連邦政府機関は、FedRAMPの規定に基づいて、各機関の業務と資産をサポートするシステムの情報セキュリティ計画を作成、文書化、実施することが求められます5。また、FedRAMPでは、他の政府機関、請負業者、またはその他の情報源によって提供または管理されるシステムやサービスについても規定されています。
FedRAMPのプロセスは、クラウドシステムに関するFISMAの要件を政府機関が満たすのを支援し、FISMAへの準拠を困難にしているクラウドシステムの複雑さに対応できるように設計されています。
エンハンスト・サービス・オーガニゼーション・コントロール2(SOC2+)報告書は、今日、その必要性が特に高まっています。この報告書は、Trustサービス基準(TSC)では対応できない領域において基準が満たされていること(例えば、NISTや国際標準化機構(ISO)などが主導する、さまざまな規制フレームワークや業界フレームワークへの準拠)を証明するために使用されています。デロイトの「SOC2+を用いた第三者機関報告能力」について、より詳しくはこちらをご覧ください。
まとめ
これまで、NISTフレームワークに基づきさまざまな規格が策定されてきましたが、それらの規格には明らかな共通点が存在します。例えば、コントロール手段やセキュリティに関する要件は、複数の規格で同じような内容が規定されています。
デロイト トーマツでは、サイバーセキュリティにおいてビジネス視点からオペレーション視点に至るまで一気通貫で深い知見を有する戦略コンサルタントやNISTの専門家による、洗練されたナレッジとアセットに基づき、以下のサービス等を通して総合的にNIST対応コンサルティングを提供することでお客様をサポートします。
• 該当する規格に関するコンサルティング
• 情報セキュリティアーキテクチャーと運用環境に存在する強化領域を特定するためのギャップ分析
• 各種規格に関するレディネスサービスと評価サービス(デロイトは、FedRAMPの第三者評価機関として認定されています)
• 該当する規格に関するコンプライアンスロードマップ

後注
Endnotes
1 National Institute of Standards and Technology (NIST), "Cybersecurity Framework," https://www.nist.gov/cyberframework.
2 NIST Computer Security Resource Center, Security and Privacy Controls for Federal Information Systems and Organizations, April 2013, https://csrc.nist.gov/publications/detail/sp/800-53/rev-4/final.
3 US Department of Defense, Office of the Under Secretary of Defense for Acquisition & Sustainment, "Cybersecurity Maturity Model Certification," https://www.acq.osd.mil/cmmc.
4 Federal Risk and Authorization Management Program, "Documents," https://www.fedramp.gov/documents.
5 NIST Computer Security Resource Center, "FISMA Background," November 30, 2016, https://csrc.nist.gov/projects/risk-management/detailed-overview.