Summary
In today's digital era, cyber security has become necessary for organizations. With the rise in cyber attacks and data breaches, companies must implement effective security measures to safeguard their assets and sensitive information.
To achieve this, organizations often adhere to specific cyber security frameworks, standards, and compliances. These frameworks, like the NIST Cybersecurity Framework, offer a structured approach to implementing security controls and managing cyber risk.
Understanding different cyber security frameworks, standards, and compliances is crucial for IT department personnel and those handling sensitive data. Knowing these frameworks helps individuals assess their organization's security posture, identify vulnerabilities, and develop a roadmap for improving security practices.
Additionally, compliance with industry standards like PCI DSS or GDPR is vital for organizations dealing with sensitive data. Non-compliance may lead to hefty fines, legal liabilities, and reputational harm.
This article will briefly cover the most common cyber security framework.
Content
1.NIST Cyber Security Framework
The NIST Cybersecurity Framework is a widely adopted framework for managing and reducing cybersecurity risk. Developed by the National Institute of Standards and Technology (NIST), the framework provides a flexible approach for organizations to improve their cybersecurity posture and resilience.
The NIST Cybersecurity Framework is based on five core functions: Identify, Protect, Detect, Respond, and Recover. These functions provide a high-level view of the steps organizations need to take to manage cybersecurity risk effectively.
The Identify function involves understanding the organization's systems, assets, data, and business processes, and identifying the cybersecurity risks that could impact them. The Protect function involves implementing safeguards to protect the organization's systems and data from cyber threats. The Detect function involves identifying cybersecurity events as soon as possible. The Respond function involves developing and implementing a plan for responding to cybersecurity incidents.
The NIST Cybersecurity Framework is a valuable tool for organizations of all sizes and sectors, from small businesses to large enterprises. It provides a flexible and customizable framework for managing cybersecurity risk, helping organizations to better protect their assets and reputation. Furthermore, the framework is regularly updated to reflect the latest threats, technologies, and best practices, ensuring that it remains a relevant and effective tool for managing cybersecurity risk. https://www.nist.gov/
2.NIST 800-53
NIST SP 800-53 is a publication developed by the National Institute of Standards and Technology (NIST) that provides a catalog of security and privacy controls for information systems and organizations.
NIST SP 800-53 is a comprehensive framework that organizations can use to identify, assess, and manage security and privacy risks. It provides a set of security and privacy controls that can be tailored to an organization's specific needs and risk tolerance. The framework is widely used by federal agencies, as well as organizations in the private sector and academia.
NIST SP 800-53 contains security and privacy controls for various categories, including access control, audit and accountability, security assessment and authorization, configuration management, and incident response. The controls are organized into families, and each family contains a set of controls that address specific security and privacy concerns.
The framework is regularly updated to reflect changes in the threat landscape, new technologies, and emerging best practices. The most recent version, NIST SP 800-53 Revision 5, includes several new controls related to supply chain security, privacy, and identity and access management.
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
3.NIST 800-53 中程度のベースライン
連邦(政府)の情報システムの機密性、完全性、および可用性を保護するための最低限の基準を提供する一連のセキュリティ指針です。これには、一般的なセキュリティ リスクと脅威に対処するように設計された 325 の指針も含まれています。比較的、機密性の低い情報を含むシステムを対象としています。 https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
4.NIST 800-53 低ベースライン
連邦(政府)の情報システムを守るための基本的なセキュリティ指針です。これには、一般的なセキュリティ リスクと脅威に対処するように設計された 205 の指針も含まれています。公開されているシステム、または組織の運用や資産への影響が比較的少ないシステムが対象となっています。 https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
5.NIST 800-171
連邦(政府)以外のシステムおよび組織における非機密情報 (CUI) の機密性を保護するためセキュリティ要件です。この要件は、請負業者、大学、研究機関など、連邦政府に代わって CUI を処理する組織に適用されます。 ※サイバーセキュリティにおけるCUIという用語は、IT企業の方々が知ってるCUI(コマンドインターフェイス)とは違いますので注意してくださいね。
https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final
6.PCI-DSS (クレジット カード業界のデータ セキュリティ基準)
PCI-DSS は、有名なクレジットカード会社らによって開発されたセキュリティの指針であり、クレジット カードおよびデビット カードの情報を安全に処理することを目的としています。ネットワーク セキュリティ、アクセス制御、定期的なテストなどの要件を通じて、支払いカード データを保護することにフォーカスしたセキュリティフレームワークです。 https://www.pcisecuritystandards.org/
7.GDPR (一般データ保護規則)
GDPR は、EU 市民の個人データのプライバシーを保護するために、2018 年に欧州連合 (EU) によって制定された規則です。これは、EU 市民の個人データを扱うすべての組織に適用されます。たとえば日本企業が、EU内外で、EU市民のデータを取り扱う場合、この規則への対応が超超重要になります。
https://gdpr-info.eu/
8.HIPAA (健康保険の携行性と説明責任に関する法律)
HIPAA は、医療関係者、保険会社、およびその他の医療関連組織において、患者の健康情報の取り扱いを定めた米国の法律です。 HIPAA は、患者のプライバシーとセキュリティを保護するためのフレームワークとなっています。 https://www.hhs.gov/hipaa/index.html
9.ISO27001規格
ISO 27001 は、機密情報資産を管理および保護するための国際規格です。情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するためのガイドラインについて色々規定してます。日本でも業界問わず結構有名ですよね。 https://www.iso.org/isoiec-27001-information-security.html
10.ISO27002 規格
ISO 27002 は、情報資産の機密性、完全性、および可用性を確保するためのサイバーセキュリティの管理規格です。ISO27001よりも、サイバーセキュリティにフォーカスされています。 https://www.iso.org/isoiec-27001-information-security.html
11. COBIT (情報および関連技術の管理目標)
COBIT は、情報技術 (IT) リソースを管理するために、Information Systems Audit and Control Association (ISACA) によって開発されたフレームワークです。アプリケーション、データ、インフラストラクチャ、人員などの IT 資産を効果的に管理および運用するために、最適な対策を規定してます。 https://www.isaca.org/resources/cobit
12. OWASP トップ 10
OWASP TOP 10 は、Open Web Application Security Project (OWASP) によってまとめられた、重大な Web アプリケーション セキュリティ リスクのトップ 10 のリストです。インジェクション攻撃、クロスサイト スクリプティング (XSS)、不正認証など、Web アプリケーションの最も一般的なセキュリティの脆弱性を特定、理解、軽減するための指針です。
https://owasp.org/www-project-top-ten/
13. CSC フォーム The Center for Internet Security
CIS Top 18 Critical Security Controls (CSC) は、組織にフォーカスされた、組織のための、組織のセキュリティ体制を改善するための指針です。このフレームワークは、セキュリティや組織の専門家によって開発された、組織のための最適な対策を規定してます。 https://www.cisecurity.org/controls/cis-controls-list
14. SCF (セキュア コントロール フレームワーク)
組織のサイバーセキュリティ リスクを管理および軽減するための構造化されたサイバーセキュリティ フレームワークです。組織の特定のセキュリティ要件に合わせてカスタマイズできる柔軟な規定となっています。 https://securecontrolsframework.com/
15. CMMC (サイバーセキュリティ成熟度モデル認証)
米国国防総省 (DoD) が開発したサイバーセキュリティ フレームワークで、政府の請負業者やサプライヤーが、機密情報を適切に保護できるように、指針を規定しています。米国政府の入札において、段階的にCMMCを守っていることが求められることがあります。この指針には、基本的なサイバーセキュリティ対策から、高度な対策までが含まれています。ちなみに、著者が一番好きなフレームワークです。
https://cmmc-eu.com/cmmc-framework/
16. NISPOM (The National Industrial Security Program Operating Manual)
機密情報を確実に保護するために米国政府が策定した一連のガイドラインとその手順を示したものです。政府との個別契約に基づき、機密情報にアクセスできる民間組織に適用されることになります。 https://www.federalregister.gov/documents/2020/12/21/2020-27698/national-industrial-security-program-operating-manual-nispom
17. UL 2900 (Underwriters Laboratories) Underwriters Laboratories)
UL 2900 は、接続された製品、システム、およびサービスのためのサイバーセキュリティ規格です。これは、医療機器、産業用制御システム、スマート ホームなど、IoT デバイスやその他の接続システムのセキュリティを評価するための指針を示しています。 https://www.ul.com/news/us-fda-recognizes-ul-2900-2-1-use-premarket-reviews
18. CSA (クラウド セキュリティ アライアンス)
正確にいうと、CSAはフレームワークではなく、団体です。クラウド コンピューティング環境を保護するための指針を提供する非営利団体です。サイバーセキュリティのリスク管理に役立つガイドライン、最適な手順、およびツールを提供しています。
https://cloudsecurityalliance.org/research/cloud-controls-matrix/
19. ENISA (欧州連合サイバーセキュリティ機関)
ENISAもフレームワークではなく、団体です。EU加盟国全体でサイバーセキュリティの促進を支援する欧州連合の機関です。リスク評価、脅威分析、トレーニングおよび意識向上プログラムなど、幅広いサービスを提供しています。 https://www.enisa.europa.eu/
20. FR FedRAMP (連邦リスクおよび認可管理プログラム)
クラウドベースの製品とサービスのセキュリティ評価、承認、および継続的な監視を実施する政府のプログラムです。セキュリティ評価のプロセスを合理化して、政府機関のコストを削減しながら、必要十分なセキュリティ対策がなされるよう設計されています。 https://www.fedramp.gov/
21. FERC – NERC
エネルギーインフラ用のフレームワークです。FERC は電力と天然ガスの州間送電を対象としており、NERC は北米の電力網の信頼性とセキュリティを対象としています。 https://www.nerc.com/
22. PMS(プライバシーマークシステム)
PMSは、日本の団体の認定制度です。一般社団法人日本情報経済社会推進協会(JIPDEC)が、企業や団体の個人データの取り扱いに一定の指針を示しています。
https://privacymark.org/about/outline_and_purpose.html
あとがき
ITコンサルティングを仕事とされている方からすれば、セキュリティのフレームワークを数行で説明するなんて、無茶苦茶だとお叱りを受けそうです。 ワンピースでは、ルフィ一味が、ログポース(方位磁針)を使っていろいろな島に行きます。 それぞれの島の文化、環境、住人、敵、そしてそこでルフィ達が何を経験したかを、あなたは数行で説明できますでしょうか? そういう荒業をやってしまったのが今回の記事になりますが、少しだけでも、フレームワークの雰囲気を掴んでいただけたなら幸いです。 繰り返しになりますが、ここで説明しているフレームワークは、世界中の会社で採用されているセキュリティのフレームワークのうち、ほんの一部だけのお話でしかありません。 どのフレームワーク1つとっても、ワンピースの各島の話よりも長い内容が詰め込まれていますし、一企業で導入しようものなら、長編のワンピースを間違いなく超えるストーリーが待っています。 だからこそ、複雑なセキュリティの世界で、案内役をしてくれる、ワンピースのナミのような、ITコンサルタントが求められているわけですが。ええ、それがわたし達です(どーん!!)
参考文献:
·「令和 2 年度中小企業サイバーセキュリティ対策促進事業 (関西サイバーセキュリティ促進強化事業)」 関西におけるサイバーセキュリティ対策の実態把握(アンケート調査結果)
https://www.kansai.meti.go.jp/2-7it/k-cybersecurity-network/210317press_report2.pdf