プログラミング生放送勉強会 第54回@熊本のセッション資料 https://atnd.org/events/100428

1. NIST Cybersecurity
Framework 概要
2018/10/20(土)
プログラミング生放送勉強会
第54回@熊本
You&I

2. ジコ、ショウカイ。
• H/N： You&I(読み：ユーアンドアイ)
• SNS： @you_and_i
• 出身： 生まれも育ちも名古屋市
• 年齢： アラフォー
• 本職： 商学部出身の職業プログラマ
• 言語： C++, C#, VB6, Java Applet他
• 所属： プログラミング生放送勉強会 名古屋支部長
名古屋アジャイル勉強会
わんくま同盟 名古屋勉強会 ディレクター
NIST Cybersecurity Framework概要 2

3. 暮井慧ファンクラブの会員番号２番です
NIST Cybersecurity Framework概要 3

4. プログラミング生放送 勉強会について
回数 参加 回数 参加 回数 参加 回数 参加
第1回@渋谷 不参加 第15回@大阪 参加 第29回@松山 参加 第43回@DMM 参加?
第2回@新宿 不参加 第16回＠名古屋 参加 第30回@名古屋 参加 第44回@熊本 参加
第3回@大阪 不参加 第17回@品川 参加 第31回@大阪 参加 第45回@名古屋 参加
第4回＠名古屋 参加 第18回@大阪 参加 第32回@GMO 参加 第46回@DMM 参加
第5回@新宿 不参加 第19回@品川 参加 第33回@DMM 不参加 第47回@松山 参加
第6回@大阪 参加 第20回@品川 不参加 第34回@松山 参加 第48回@DMM 参加
第7回@新宿 参加 第21回@福岡 参加 第35回@DMM 参加 第49回@大阪 参加
第8回＠名古屋 参加 第22回@松山 参加 第36回@DMM 参加 第50回@名古屋 参加
第9回@大阪 参加 第23回@大阪 参加 第37回@福岡 参加 第51回@IIJ 参加?
第10回@品川 参加 第24回@名古屋 参加 第38回@名古屋 参加 第52回@松山 参加
第11回@大阪 不参加 第25回@品川 不参加 第39回@DMM 不参加 第53回@GMO大阪 参加
第12回@品川 参加 第26回@大阪 不参加 第40回@金沢 参加 第54回@熊本 参加
第13回@愛媛 参加 第27回@品川 参加 第41回@松山 参加 第55回@福岡
第14回@品川 不参加 第28回@仙台 参加 第42回@大阪 参加 第56回@名古屋
名古屋支部長のこれまでの勉強会参加状況→29回中20回
NIST Cybersecurity Framework概要 4

5. AGENDA
•セキュリティ標準とは
•NIST Cybersecurity Framework概要
NIST Cybersecurity Framework概要 5

6. 1. セキュリティ標準とは
NIST Cybersecurity Framework概要
NIST Cybersecurity Framework概要 6

7. セキュリティ標準とは
•セキュリティ標準がターゲットとするのは、何ら
かのプロダクト・サービスを提供する組織です。
•個人レベルで対応するには大がかり過ぎます
が、企業のセキュリティ対策が進んでいないと
か、セキュリティ人材が不足していると言われ
る昨今においては、知識として身につけておく
のは有用でしょう。
NIST Cybersecurity Framework概要 7

8. セキュリティ標準とは
•セキュリティ標準は、基本的にリスクマネジメン
ト手法の一つであり、実施すべきセキュリティ
対策の指針は示されるものの、対策のチェック
リストや具体的なセキュリティ対策方法につい
ては提供されません。
NIST Cybersecurity Framework概要 8

9. セキュリティ標準とは
•サイバー攻撃手法は日進月歩で進化し続け
るので、セキュリティ対策もそれに対処する必
要があります。これだけやっておけば良いという
のはセキュリティ標準には組み込まれません。
•リスクマネジメントによる対策としては、組織の
あるべき姿と現状とのギャップ分析や、繰り返
し改善を行うPDCAサイクル構築が主流です。
NIST Cybersecurity Framework概要 9

10. セキュリティ標準とは
•これらのセキュリティ標準はあくまでガイダンスで
あって、強制するものではなく自発的なセキュ
リティ対策を支援するものです。
•セキュリティ標準(Standard)ではなく、セキュリティ
認証(Certification)の場合は、満たすべき要求事
項(Requirements)があります。
NIST Cybersecurity Framework概要 10

11. セキュリティ標準とは
•主なセキュリティ標準・認証
•国際機関が策定
• ISO, ISO/IEC, JIS(ISOのローカライズ)
例) ISO/IEC 27000シリーズ, CC認証
•政府機関が策定
• 例) NIST, NISC(内閣サイバーセキュリティセンター)
•業界団体が策定
• 自動車, 航空機, 船舶, クレジットカード決済
例) EDSA認証(組み込みデバイス向け)
NIST Cybersecurity Framework概要 11

12. セキュリティ標準とは
•マスコットアプリ文化祭が始まっていますけれど、
セキュリティ標準って何か関係するの？
•皆さんがお使いの各種クラウドサービスは、セキュ
リティ標準にも対応しています。
•クラウドサービスを利用する側だけでなく、準拠が
求められるケースがあるのでホストする側もサービ
ス提供しているベンダーは対応を行っています。
NIST Cybersecurity Framework概要 12

13. セキュリティ標準とは
•Amazon AWS
• https://docs.aws.amazon.com/ja_jp/quickstart/la
test/accelerator-nist/welcome.html
• https://aws.amazon.com/jp/compliance/nist/
•Microsoft Azure
• https://docs.microsoft.com/ja-
jp/azure/security/blueprints/nist171-analytics-
overview
•Google GCP
• https://cloud.google.com/security/compliance/
NIST Cybersecurity Framework概要 13

14. 2. NIST Cybersecurity Framework
概要
NIST Cybersecurity Framework概要
NIST Cybersecurity Framework概要 14

15. NIST Cybersecurity Framework概要
•NIST(アメリカ国立標準技術研究所:National
Institute of Standards and Technology)は
様々な標準を策定していますが、その中でも
セキュリティ標準は、様々な業界で参照・活
用されています。
NIST Cybersecurity Framework概要 15

16. NIST Cybersecurity Framework概要
•NISTが公開しているセキュリティ標準
•FIPS(Federal Information Processing Standards)
• FIPS 140-2, FIPS 186-4
•SP(NIST Special Publications)
• SP 800
• SP 800-53, SP 800-171
• SP 1800
•CSF(Cybersecurity Framework)
NIST Cybersecurity Framework概要 16

17. NIST Cybersecurity Framework概要
•NIST Cybersecurity Framework
•v1.0 – 2014年2月
•v1.1 – 2018年4月
• v1.0からの変更点
• フレームワークコアのIDカテゴリに「ID.SC」が追加
• フレームワークコアのサブカテゴリに10要素が追加
NIST Cybersecurity Framework概要 17

18. NIST Cybersecurity Framework概要
•NIST CSFは、以下の2つに重きを置いています。
•サイバーセキュリティへの取り組みを、企業にとっ
てのビジネス上のモチベーションにつながるものに
する
•サイバーセキュリティリスクを、企業のリスク管理プ
ロセスの一環としてとらえる
NIST Cybersecurity Framework概要 18

19. NIST Cybersecurity Framework概要
•NIST CSFは、以下の3要素で構成されます
1. フレームワークコア(Framework Core)
2. フレームワークプロファイル(Framework
Profile)
3. フレームワークインプレメンテーションティア
(Framework Implementation Tier)
NIST Cybersecurity Framework概要 19

20. サイバーセキュリティリスク
が組織によってどのように
管理され、
どのようにリスク管理プラ
クティスが重要な特性を
示すかを説明します
実装シナリオで業界
標準とベストプラクティ
スをFramework Core
に合わせる
ビジネスニーズを考慮
しながら優先順位付
けと計測をサポート
サイバーセキュリティの成果と参考資料
組織全体でサイバーリスクの伝達を可能にする
NIST Cybersecurity Framework概要
NIST Cybersecurity Framework概要 20
Cybersecurity
Framework
Core
TierProfile

21. NIST Cybersecurity Framework概要
•フレームワークコア(Framework Core)
NIST Cybersecurity Framework概要 21
機能 カテゴリー/サブカテゴリ－
ID
(特定)
ID.AM x6 (資産管理)
ID.BM x5 (ビジネス環境)
ID.GV x4 (ガバナンス)
ID.RA x6 (リスクアセスメント)
ID.RM x3 (リスク管理戦略)
ID.SC x5 (サプライチェーンリスク管理)
PR
(防御)
PR.AC x7 (識別子制御及びアクセス制御)
PR.AT x5 (意識向上及びトレーニング)
PR.DS x8 (データセキュリティ)
PR.IP x12 (情報を保護する為のプロセス及び手順)
PR.MA x2 (保守)
PR.PT x5 (保護技術)
機能 カテゴリー/サブカテゴリ－
DE
(検知)
DE.AE x5 (異常とイベント)
DE.CM x8 (セキュリティの継続的なモニタリング)
DE.DP x5 (検知プロセス)
RS
(対応)
RS.RP x1 (対応計画の作成)
RS.CO x5 (伝達)
RS.AN x5 (分析)
RS.MI x3 (低減)
RS.IM x2 (改善)
RC
(復旧)
RC.RP x1 (復旧計画の作成)
RC.IM x2 (改善)
RC.CO x3 (伝達)
オレンジ色文字はCSF v1.1で変更・追加

22. NIST Cybersecurity Framework概要
•フレームワークコア(Framework Core)
•サブカテゴリーの細かい部分は別なセキュリティ
標準を参照している・・・。
• NIST SP 800-53 Rev.4
• ISO/IEC 27001:2013
• ISA 62443-2-1:2009
• ISA 62443-3-3:2013
• ISACA COBIT 5
• CIS CSC(Center For Internet Security, The Critical
Security Controls)
NIST Cybersecurity Framework概要 22

23. NIST Cybersecurity Framework概要
• フレームワークインプレメンテーションティア(Framework
Implementation Tier)
• ティアには1～4の段階がある。
• Tier1：部分的である（Partial）
• Tier2：リスク情報を活用している （Risk Informed）
• Tier3：繰り返し適用可能である （Repeatable）
• Tier4：適応している（Adaptive）
• それぞれの段階は以下の状況を表している。
• リスク管理対策がどの程度、厳密で高度なものか
• リスク管理がビジネスニーズにどの程度基づいているか
• 企業の全体的なリスク管理対策にどの程度組み入れられて
いるか
NIST Cybersecurity Framework概要 23

24. NIST Cybersecurity Framework概要
• フレームワークプロファイル(Framework Profile)
• プロファイルは、サイバーセキュリティ対策の現在の状態と目指
す目標の状態を記述するのに使用できる。
• 「現在のプロファイル」は、現時点で達成されているサイバーセキュ
リティ成果を示す。
• 「目標のプロファイル」は、サイバーセキュリティリスク管理上の目指
す目標を達成するのに必要な成果を示す。
• プロファイルは ビジネス／ミッション要件を踏まえ企業内および
企業間でのリスクについての伝達を支援する。
• CSFでは、実施に関して柔軟性を持たせることを意図して、プ
ロファイルのひな形は規定していない。
• プロファイルの比較は、サイバーセキュリティリスク管理上の目
標を果たすために対処が必要なギャップを浮き彫りにします。
NIST Cybersecurity Framework概要 24