はじめに こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです...
はじめに
こんにちは、 ネクストモード株式会社のサイドウです。
セキュリティ対策の一環として、ゼロトラストセキュリティという言葉をよく聞くようになってきました。
弊社でも、ゼロトラスト~と言う事がありますが、今回は、ゼロトラストセキュリティ云々から一度立ち返ってみたいと思います。NISTのサイバーセキュリティフレームワークを参考にしながら、企業のセキュリティとして、本来どんな対策が必要なのかを改めて考えをまとめます。
※偉そうな内容なので私見はあまり述べずに、あくまでフレームワークに則った形でブログを書いていきます。
目次
① → 本ブログ
- NIST CSF2.0から読み取るセキュリティの全体像
- NIST CSF2.0とは
- セキュリティのあるべき姿
② → 次回ブログ
- 従来のセキュリティモデル
- あるべき姿と比べて何が足りていないのか
③ → 次々回ブログ
- NIST CSF2.0を考慮したセキュリティモデル
- あるべき姿の具体例
- ゼロトラストの製品選定において大事なこと
- 製品選定の重要観点
NIST CSF 2.0 から読み取るセキュリティの全体像
・NIST CSF 2.0とは
米国国立標準技術研究所(NIST)により策定された、サイバーセキュリティフレームワーク(CSF)を指します。"2.0"はいわゆるバージョン番号になっていて、下記のような歴史で対象範囲や考慮事項を拡大してきた読み物になっています。
セキュリティのプロフェッショナル達が考えたセキュリティ対策のフレームワーク!!結構みんな参考にしているやつ!!みたいな認識で良いと思います。※セキュリティコンサルの会社さんとか、IPA等のガイドラインとかでも参考にされている凄い文書です。
中身は主に「コア」・「ティア」・「プロファイル」の3要素で構成されています。フレームワークを活用することでどのようなセキュリティ対策が足りていないか、強化すべきかを評価できるイメージです。
全てを語ると文章が尽きないので、ブログでは、一番の大枠いわば概念となる「コア」に注視して情報をまとめていきます。細かい所が見てみたい!!という方は実際のCSFを見てみることをお勧めします。
| 構成 | 内容 |
| コア | 「セキュリティってこういうことだよね」みたいな考え方が、NISTなりに6項目にまとめられています。さらに細分化した「カテゴリー」というのもあるのですが、ブログでは触れません。 |
| ティア | CSFの評価項目の達成度を評価する基準が4段階に定義されています。(点数みたいなものです)ブログでは触れませんが、評価の仕方は組織に合わせて、ある程度変更してよいと思います。 |
| プロファイル | コアおよびカテゴリに対して目指すべき状態が書かれています。(完璧を目指すというよりも、どこまでを目指すか、リスクを許容するかみたいな折り合いが必要です) |
ここまで凄くカジュアルに書いていますが、「プロファイル」まで読み取って評価するのは割と知識が必要です。なんと言えばよいのか、、製品ベースではなく、目的ベースで記載されているからです。比較的わかりやすいプロファイル項目を一つ挙げると、
PR.AA-02 :IDは証明され、コンテキストに基づいて認証される。云々、、
製品を知っていると、何となくIDaaSっぽいと読み取ると思うのですが。まぁこんなものが100個くらいあるという事です。
つまるところ、IDaaSを入れたい!!SASEを入れたい!EDRを入れたい!を動機にして製品選定を始めると、本来はこれらのプロファイル項目をクリアしてセキュリティを強化するためのものが、いつの間にか製品導入が目的にすり替わっていきます。
製品導入が目的になると、コストが低い製品が魅力的に見えてきます。安い製品が悪だと言っているわけではなく、その時にどのようなリスクを許容したのか、許容したリスクは人的リソースで対応するのか or 放置するのか。といった整理・認識が本来必要という意味合いです。
本ブログでは、「目的ベースで考えたとき、ゼロトラストの製品選定は何を基準に選べばよいのか」を伝えたい!!という思いで全3章執筆していきます。
・セキュリティのあるべき姿
セキュリティのあるべき姿ってなんでしょう。
理想形としては、「全てのサイバー攻撃が侵入前にブロックされる」みたいな所だと思います。しかし、昨今のニュースを見ても、セキュリティ対策に力を注ぐ大手企業でさえサイバー攻撃の侵入を防げないのが現実です。(次回ブログでまとめますが、この考えが従来のセキュリティモデルの根幹だと考えています)
それに対してNIST CSF2.0は、「侵入もブロックするよ。侵入された時も早めに検知して対応・復旧するよ。」を理想形とするフレームワークです。結論いうと、今回はこの考え方をあるべき姿として、話を進めていきます。
ここで、NIST CSF2.0の「コア」について解説します。コアまでは直感的に理解できる部分になっていると思います。
上図がNIST CSF2.0で定義されているコアの概要となっています。
その中でも、「統治」「特定」「防御」を「サイバーハイジーン」。「検知」「対応」「復旧」を「サイバーレジリエンス」と呼んでいます。両者は連携する機能で、どちらか片方を充実させるということはできません。すべてのコアを満たすように全体最適にセキュリティ対策を考えていく必要があります。
例えば、レジリエンスにおける「検知」を実現する場合、平時の対策(ハイジーン)として、企業のネットワークにどのような機器が接続されているのか。その端末ではどのようなソフトウェアが稼働しているのか。ネットワークを介してどのようなデータがやり取りされているのか。が可視化できる状態(「特定」にあたる)でなければ、不正な挙動を「検知」することはできません。
見えてないものは検知できないですし、対応もできないですよね。
まとめますと、あるべき姿として「侵入もブロックするよ。侵入された時も早めに検知して対応・復旧するよ。」を前提に、セキュリティ対策を組んでいく。ここを目的としたソリューション選定が求められている。といった話になります。
また、察しの良い方はお気づきかもしれないですが、この考え方に基づいたアーキテクチャの一部分が製品ベースで整理されているもの=ゼロトラストセキュリティモデルと捉えて頂いてよいと思います。実際に、NIST CSFを管理方針に置いて、具体的な手法と手順が明記された「NIST SP800シリーズ」にもゼロトラスト・アーキテクチャに関する文書が発行されています。
参考ページ
[1] Cybersecurity Framework | NIST :https://www.nist.gov/cyberframework
[2] CSF 2.0 Profiles:https://www.nist.gov/cyberframework/profiles
[3] Zero Trust Architecture | NIST:https://www.nist.gov/publications/zero-trust-architecture
次回のブログ
長くなるので一旦切ります!!最終的にはすべての内容を一本にまとめたブログも挙げようかなぁと。
次回は、本ブログの内容を踏まえて、従来のセキュリティモデルで足りていない部分をまとめていきたいと思います。
閲覧ありがとうございました!!
