NIST CSF 2.0 を読んだ

NIST CSF 2.0 を読んだ 2024-12-21 @uta8a

自己紹介 セキュリティは素人です 解釈間違ってたら教えてね @uta8a

NIST CSF とは何か？

NIST CSF とは何か？ NIST CSF は、組織がサイバーセキュリティリスクを管理して、軽減していくためのガイドである “ The NIST Cybersecurity Framework (CSF) 2.0 provides guidance to industry, government agencies, and other organizations to manage cybersecurity risks. “ The NIST Cybersecurity Framework (CSF) 2.0 February 2 , 202 6 4 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf ・組織 ：どの規模、どんな分野、どのセキュリティに対する成熟度でも有効 ・サイバーセキュリティリスク ：データの機密性、完全性、可用性を脅かし組織の運営や資産に悪影響 を及ぼすもの ・ガイド ：組織をセキュアにしていく時に考え方の指針になる サイバーセキュリティリスクはNIST CSFに定義はなく、NISTの定義を参考にした https://csrc.nist.gov/glossary/term/cybersecurity_risk

• https://csrc.nist.gov/glossary/term/cybersecurity_risk
• https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

NIST CSF とは何か？ NIST CSF は、組織がサイバーセキュリティリスクを管理して、軽減していくためのガイドである “ The NIST Cybersecurity Framework (CSF) 2.0 provides guidance to industry, government agencies, and other organizations to manage cybersecurity risks. “ The NIST Cybersecurity Framework (CSF) 2.0 February 26, 2024 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf ざっくり言うと、セキュリティリスク(アプリの脆弱性やシステム構成)を洗い出したり、 評価したり、対処する時に着目すべき観点を提供する ただ、組織固有のリスクも存在するためNIST CSFに従っておけば万能！ではないことに注意

• https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

NIST CSF を構成する3つの概念 Core, Profiles, Tiers

NIST CSF を構成する3つの概念 CSF Core CSF Profiles CSF Tiers サイバーセキュリティリスクの管理に役立つ成果を複数観点に分類する Coreを元に、組織の現状の把握と目標の設定をする リスクに対するガバナンスと管理に着目し、Profilesの到達度を分類する CSF Profiles は正確には CSF Organizational Profiles だが、スライドの都合上略した

CSF Core サイバーセキュリティリスクの評価観点を提供する

CSF Core サイバーセキュリティリスクの管理に役立つ成果を複数観点に分類する 成果って具体的には何？→リスクを検出できるとか、リスクによって悪影響が及んでも復旧できるとか CSF Core は Functions, Categories, Subcategories の3階層から構成される ざっくり観点の大きさで大項目、中項目、小項目だと思ってOK 例 Functions: GV - Gover Categories: GV.OC - Organizational Contex Subcategories: GV.OC-01 - 組織の目標は理解されている。その目標がサイバーセキュリティリスク管 理に反映されている。 識別子は階層によって GV → GV.OC → GV.OC-01 のように細分化される

CSF Core サイバーセキュリティリスクの管理に役立つ成果を複数観点に分類する Functionsは6項目 5つのFunctions(Identify, Protect, Detect, Respond, Recover)と、それを支えるGovern、という構成 日本語だと特定、防御、検知、対応、復旧 + 統治 Categories等のCoreの詳細は NIST CSF 2.0 ドキュメントのAppendix Aを参照 The NIST Cybersecurity Framework (CSF) 2.0 February 26, 2024 https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

• https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf

CSF Profiles 評価観点を用いて、現状を把握し、目標を決める

CSF Profiles CSF Coreを用いて、組織の現状の把握と目標の設定を行う ・Current Profile: 現在達成できている成果 ・Target Profile: 目標とする成果。ただし、これは選び抜かれて優先度付けがされている。 どんな行動を取ればいいか 取るべき行動の順 Scope the Organizational Profile: 対象範囲を絞る。組織全体か、特定サービス Gather the information needed to prepare the Organizational Profile: 優先度や、ビジネスインパク トを集め Create the Organizational Profile: Profileを作成する。目標決めに相当す Analyze the gaps between the Current and Target Profiles, and create an action plan: 目標と現状の 差分を計測す Implement the action plan, and update the Organizational Profile: 差分に対して行動計画を立て る。Profileはアップデートしていく

CSF Tiers Profilesの成熟度を4段階のレベルに分ける。リスクガバナンスとリスク管理の状態で分類。

CSF Tiers リスクに対するガバナンスと管理の2つの軸で、Profilesをレベル付けする ガバナンス 管理 場当たり的、優先順位なし 不定期 Risk-informed 経営陣の承認がある 組織レベルでは存在、包括的なものはない Repeatable ポリシーがある 組織全体で取り組む Adaptive 組織目標と接続し、意思決定に影響 進化する脅威への対応 Partial Govern Identify, Protect, Detect, Respond, Recover

次に取る行動 NIST CSF 2.0 の概要を学んだ後に個人的にやりたいこと

次に取る行動 NIST CSF の Core を頭に入れたい 攻撃者は穴を突けばいいという特性上、セキュリティは網羅的な観点が必要。 Coreを頭に入れることで網羅的な感性を身につけたい。頭に入っていれば、セキュリティ関連サービス の分類もすぐにできて判断が早くなりそう。 どうやって Core を頭に入れるか 分からんけど、こういうのはカードゲームとかが学習に向いてそう。考え方を適用するのってリアル世 界だと難しいので、ゲームとして小さい世界でイメージを作れると良さそう。 案: 与えられたセキュリティインシデントシナリオに対して、どのCoreが関連するか出す

参考文献 ・NIST CSFのドキュメントはここから辿れる https://www.nist.gov/cyberframework ・単語の定義はここが便利 https://csrc.nist.gov/glossary ・The NIST Cybersecurity Framework (CSF) 2.0 February 26, 2024 https://nvlpubs.nist.gov/nistpubs/ CSWP/NIST.CSWP.29.pdf

• https://www.nist.gov/cyberframework
• https://csrc.nist.gov/glossary
• https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf