世はまさに、セキュリティフレームワーク乱立時代

要約

社会はどんどんデジタル テクノロジーに依存しています。企業にとってサイバー セキュリティは重要な要素ですよね。 機密情報と資産を保護対策が不可欠です。 もちろんほとんどの企業の組織は、何らかのサイバー対策を実施しています。 でもそのサイバー対策、きちんと適切なフレームワークに従っていますか？ とりあえず個人情報保護法に沿えば良い、とりあえずGDPRを満たせばいい、という考えは、無駄な投資を生むだけでなく、不十分な対策になり得ます。 適切なフレームワークに準拠することは、法的責任、風評被害、多額の罰金(罰則金・賠償金)を回避するためにも不可欠です。 この記事では、テクノロジーの社会で、国際的かつ最も一般的である、サイバー セキュリティ フレームワークの概要をそれぞれ超簡単に説明します。 まえがき 富、名声、力・・・この世のすべてを手に入れた男・海賊王ゴールド・ロジャー。 彼の死に際に放った一言は、人々を海へかり立てた。 「オレの財宝か？欲しけりゃくれてやる。探せ！この世のすべてをそこへ置いてきた!!」 男たちはグランドラインを目指し、夢を追い続ける。世はまさに、大海賊時代(どーん!!) はい、ワンピースの本編は、CP7を倒す、エニエスロビー編で読むのをやめてしまったのは自分です。 作者の名誉のためにも（❓）はっきり書いておきますが、決してワンピが面白くなくなったから読むのをやめたのではありません。 現実世界の自分の生活が、ルフィ達の冒険よりも、忙しくなったせいです。 続きを読みたいのは山々ですが、老後の楽しみにとっておこうと思います。 なんでも、骸骨と魚人のメンバーが増えているそうですね。もう何が何だか全然わからないです ワンピースの世界では、ルフィはじめ、海賊たちが、ひとつなぎの大秘宝(ワンピース)を目指しながら様々な海を旅しているわけですが、現在の企業も、セキュリティに関してはほぼ同じ状況になっています。 IT企業に限らず、ITを利用する非常に多くの企業が、会社や顧客の情報を守るための安全な仕組みの導入に動いています。 経済産業省近畿経済産業局の調査によると、アンケートに回答した国内中小企業の82.4%が、ITのセキュリティ対策を実施しているとのことです。 セキュリティ対策にはどのような対策を実施したらよいかを示す、フレームワークというものがあります。ワンピースの場合は、海における方位磁針であるログポースですね。 このフレームワーク、日本国内だと有名なのは個人情報の保護に関する法律や、 JIS Q 15001（いわゆるプライバシーマーク）があります。 世界でも色々なガイドラインが策定されています。 IT技術は日進月歩で進化しながら形を変化させていますし、会社の大きさやビジネスの種類によっても、必要となるパターンのフレームワークは変わってきます。 今回は、世界のあらゆるセキュリティに関するフレームワークのうち、本当に一部のフレームワークのみとりあげ、数行で解説します。

本文

1.NIST サイバー セキュリティ フレームワーク

米国国立標準技術研究所 (NIST) によって開発され、サイバーセキュリティ リスクを管理および軽減します。これは、識別、保護、検出、対応、回復という 5 つのコア機能に基づいており、効果的なサイバーセキュリティの管理手順を示しています。 https://www.nist.gov/

2.NIST 800-53 高ベースライン

連邦(政府)の情報システムの機密性、完全性、および可用性を保護するための包括的なフレームワークを提供する一連のセキュリティ指針です。これには、高いレベルのセキュリティを提供するように設計された 別の420 の指針も含まれています。 https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

3.NIST 800-53 中程度のベースライン

連邦(政府)の情報システムの機密性、完全性、および可用性を保護するための最低限の基準を提供する一連のセキュリティ指針です。これには、一般的なセキュリティ リスクと脅威に対処するように設計された 325 の指針も含まれています。比較的、機密性の低い情報を含むシステムを対象としています。 https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

4.NIST 800-53 低ベースライン

連邦(政府)の情報システムを守るための基本的なセキュリティ指針です。これには、一般的なセキュリティ リスクと脅威に対処するように設計された 205 の指針も含まれています。公開されているシステム、または組織の運用や資産への影響が比較的少ないシステムが対象となっています。 https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

5.NIST 800-171

連邦(政府)以外のシステムおよび組織における非機密情報 (CUI) の機密性を保護するためセキュリティ要件です。この要件は、請負業者、大学、研究機関など、連邦政府に代わって CUI を処理する組織に適用されます。 ※サイバーセキュリティにおけるCUIという用語は、IT企業の方々が知ってるCUI(コマンドインターフェイス)とは違いますので注意してくださいね。 https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final

6.PCI-DSS (クレジット カード業界のデータ セキュリティ基準)

PCI-DSS は、有名なクレジットカード会社らによって開発されたセキュリティの指針であり、クレジット カードおよびデビット カードの情報を安全に処理することを目的としています。ネットワーク セキュリティ、アクセス制御、定期的なテストなどの要件を通じて、支払いカード データを保護することにフォーカスしたセキュリティフレームワークです。 https://www.pcisecuritystandards.org/

7.GDPR (一般データ保護規則)

GDPR は、EU 市民の個人データのプライバシーを保護するために、2018 年に欧州連合 (EU) によって制定された規則です。これは、EU 市民の個人データを扱うすべての組織に適用されます。たとえば日本企業が、EU内外で、EU市民のデータを取り扱う場合、この規則への対応が超超重要になります。 https://gdpr-info.eu/

8.HIPAA (健康保険の携行性と説明責任に関する法律)

HIPAA は、医療関係者、保険会社、およびその他の医療関連組織において、患者の健康情報の取り扱いを定めた米国の法律です。 HIPAA は、患者のプライバシーとセキュリティを保護するためのフレームワークとなっています。 https://www.hhs.gov/hipaa/index.html

9.ISO27001規格

ISO 27001 は、機密情報資産を管理および保護するための国際規格です。情報セキュリティ管理システム (ISMS) を確立、実装、維持、および継続的に改善するためのガイドラインについて色々規定してます。日本でも業界問わず結構有名ですよね。 https://www.iso.org/isoiec-27001-information-security.html

10.ISO27002 規格

ISO 27002 は、情報資産の機密性、完全性、および可用性を確保するためのサイバーセキュリティの管理規格です。ISO27001よりも、サイバーセキュリティにフォーカスされています。 https://www.iso.org/isoiec-27001-information-security.html

11. COBIT (情報および関連技術の管理目標)

COBIT は、情報技術 (IT) リソースを管理するために、Information Systems Audit and Control Association (ISACA) によって開発されたフレームワークです。アプリケーション、データ、インフラストラクチャ、人員などの IT 資産を効果的に管理および運用するために、最適な対策を規定してます。 https://www.isaca.org/resources/cobit

12. OWASP トップ 10

OWASP TOP 10 は、Open Web Application Security Project (OWASP) によってまとめられた、重大な Web アプリケーション セキュリティ リスクのトップ 10 のリストです。インジェクション攻撃、クロスサイト スクリプティング (XSS)、不正認証など、Web アプリケーションの最も一般的なセキュリティの脆弱性を特定、理解、軽減するための指針です。 https://owasp.org/www-project-top-ten/

13. CSC フォーム The Center for Internet Security

CIS Top 18 Critical Security Controls (CSC) は、組織にフォーカスされた、組織のための、組織のセキュリティ体制を改善するための指針です。このフレームワークは、セキュリティや組織の専門家によって開発された、組織のための最適な対策を規定してます。 https://www.cisecurity.org/controls/cis-controls-list

14. SCF (セキュア コントロール フレームワーク)

組織のサイバーセキュリティ リスクを管理および軽減するための構造化されたサイバーセキュリティ フレームワークです。組織の特定のセキュリティ要件に合わせてカスタマイズできる柔軟な規定となっています。 https://securecontrolsframework.com/

15. CMMC (サイバーセキュリティ成熟度モデル認証)

米国国防総省 (DoD) が開発したサイバーセキュリティ フレームワークで、政府の請負業者やサプライヤーが、機密情報を適切に保護できるように、指針を規定しています。米国政府の入札において、段階的にCMMCを守っていることが求められることがあります。この指針には、基本的なサイバーセキュリティ対策から、高度な対策までが含まれています。ちなみに、著者が一番好きなフレームワークです。 https://cmmc-eu.com/cmmc-framework/

16. NISPOM (The National Industrial Security Program Operating Manual)

機密情報を確実に保護するために米国政府が策定した一連のガイドラインとその手順を示したものです。政府との個別契約に基づき、機密情報にアクセスできる民間組織に適用されることになります。 https://www.federalregister.gov/documents/2020/12/21/2020-27698/national-industrial-security-program-operating-manual-nispom

17. UL 2900 (Underwriters Laboratories) Underwriters Laboratories)

UL 2900 は、接続された製品、システム、およびサービスのためのサイバーセキュリティ規格です。これは、医療機器、産業用制御システム、スマート ホームなど、IoT デバイスやその他の接続システムのセキュリティを評価するための指針を示しています。 https://www.ul.com/news/us-fda-recognizes-ul-2900-2-1-use-premarket-reviews

18. CSA (クラウド セキュリティ アライアンス)

正確にいうと、CSAはフレームワークではなく、団体です。クラウド コンピューティング環境を保護するための指針を提供する非営利団体です。サイバーセキュリティのリスク管理に役立つガイドライン、最適な手順、およびツールを提供しています。 https://cloudsecurityalliance.org/research/cloud-controls-matrix/

19. ENISA (欧州連合サイバーセキュリティ機関)

ENISAもフレームワークではなく、団体です。EU加盟国全体でサイバーセキュリティの促進を支援する欧州連合の機関です。リスク評価、脅威分析、トレーニングおよび意識向上プログラムなど、幅広いサービスを提供しています。 https://www.enisa.europa.eu/

20. FR FedRAMP (連邦リスクおよび認可管理プログラム)

クラウドベースの製品とサービスのセキュリティ評価、承認、および継続的な監視を実施する政府のプログラムです。セキュリティ評価のプロセスを合理化して、政府機関のコストを削減しながら、必要十分なセキュリティ対策がなされるよう設計されています。 https://www.fedramp.gov/

21. FERC – NERC

エネルギーインフラ用のフレームワークです。FERC は電力と天然ガスの州間送電を対象としており、NERC は北米の電力網の信頼性とセキュリティを対象としています。 https://www.nerc.com/

22. PMS（プライバシーマークシステム）

PMSは、日本の団体の認定制度です。一般社団法人日本情報経済社会推進協会（JIPDEC）が、企業や団体の個人データの取り扱いに一定の指針を示しています。 https://privacymark.org/about/outline_and_purpose.html

あとがき

ITコンサルティングを仕事とされている方からすれば、セキュリティのフレームワークを数行で説明するなんて、無茶苦茶だとお叱りを受けそうです。 ワンピースでは、ルフィ一味が、ログポース（方位磁針）を使っていろいろな島に行きます。 それぞれの島の文化、環境、住人、敵、そしてそこでルフィ達が何を経験したかを、あなたは数行で説明できますでしょうか？ そういう荒業をやってしまったのが今回の記事になりますが、少しだけでも、フレームワークの雰囲気を掴んでいただけたなら幸いです。 繰り返しになりますが、ここで説明しているフレームワークは、世界中の会社で採用されているセキュリティのフレームワークのうち、ほんの一部だけのお話でしかありません。 どのフレームワーク１つとっても、ワンピースの各島の話よりも長い内容が詰め込まれていますし、一企業で導入しようものなら、長編のワンピースを間違いなく超えるストーリーが待っています。 だからこそ、複雑なセキュリティの世界で、案内役をしてくれる、ワンピースのナミのような、ITコンサルタントが求められているわけですが。ええ、それがわたし達です(どーん!!)

参考文献：

·「令和 2 年度中小企業サイバーセキュリティ対策促進事業 （関西サイバーセキュリティ促進強化事業）」 関西におけるサイバーセキュリティ対策の実態把握（アンケート調査結果） https://www.kansai.meti.go.jp/2-7it/k-cybersecurity-network/210317press_report2.pdf