NIST CSF 2.0 – セキュリティの継続的改善のためのSDLC

By 清水 孝郎 - JUNE 27, 2024

SHARE:

本文の内容は、2024年6月20日に Sysdig Team が投稿したブログ(https://sysdig.com/blog/nist-csf-2-0)を元に日本語に翻訳・再構成した内容となっております。

本ブログは、サイバーセキュリティ実践に与える影響と意味、利点、課題、および新しいNIST CSF 2.0フレームワークへの移行に対処する方法に関する分析です。NISTは2024年2月にサイバーセキュリティフレームワーク(CSF)の更新版を発表しました。このバージョンの最も顕著な変更点の2つは、新しい柱の追加とその適用範囲の重要インフラストラクチャー以外への拡大です。もう一つの重要な更新点があり、それが我々の注目するポイントである「継続的な改善とフィードバックの重要性」です。

すべての業界をカバーするように範囲が拡大されたことは、長らく必要とされていた変更です。なぜなら、現在の「重要インフラストラクチャー」の範囲は、事実上ほとんどすべての業界を含むように広がっているからです。現在の脅威の状況と、重要インフラストラクチャーにアクセスするために非重要インフラストラクチャーを利用する攻撃者の手法を考慮すると、この変更は理にかなっています。第6の柱「ガバナンス」の追加とそのフレームワークの実装に関するマップは、最大の課題を抱える部分ですが、これによりセキュリティ体制の成熟度とレジリエンスの向上という最大の機会も提供されます。

 

CSF 2.0 フレームワークの何が新しいのですか?

NIST CSF 2.0 フレームワークは、ガバナンス機能を追加することで、長年のサイバーセキュリティのギャップに対処しています。ただし、組織のサイバーセキュリティ戦略に新しい柱をマッピングする前に、フレームワークでは、サイバーセキュリティのリスク管理戦略、期待、およびポリシーを確立、伝達、および監視する必要があると述べています。次に、NIST は次のように定義しています。「ガバナンス機能は、組織の使命と利害関係者の期待のコンテキストで、他の 5 つの機能の結果を達成し、優先順位を付けるために組織が実行できることを通知する結果を提供します。ガバナンス活動は、組織のより広範なエンタープライズ リスク管理 (ERM) 戦略にサイバーセキュリティを組み込むために重要です。ガバナンスは、組織のコンテキストの理解、サイバーセキュリティ戦略とサイバーセキュリティ サプライ チェーン リスク管理の確立、役割、責任、権限、ポリシー、およびサイバーセキュリティ戦略の監視に対処します。」 

つまり、NIST CSF 2.0 は、業界で慣れ親しんできた従来のモノリシックな方法ではなく、組織全体でサイバーセキュリティ ポリシーと責任を継続的に統合する方法を定義しています。この柱では、セキュリティ リスクが組織に大きな影響を与えるため、財務や評判などの他の標準的な企業リスクとともに考慮すべきであることを強調しています。 

CSF 2.0フレームワークの説明: スプリントではない 

NIST は、EO 13636 に続いて 2014 年に初めて CSF v1.0 を公開し、2018 年に v1.1 として最後に更新しました。最近公開されたバージョン 2.0 は、開発者が 20 年以上前に始めた方法論の転換、つまりモノリシックなウォーターフォール開発からリーン アジャイル開発への移行からヒントを得ています。この更新されたフレームワークを採用するということは、セキュリティが快適な領域から抜け出し、セキュリティプロセスと手順を改善する方法についてまったく新しい (セキュリティにとって) 考え方を採用する必要があることを意味します。幸いなことに、この変革の青写真はすでに開発の世界に存在しています。

継続的改善モデルの推奨事項を見ると、NIST はセキュリティプラクティスをリーンアジャイル手法に移行させることを提唱しています。そう、私たちはそう言いました。セキュリティは開発の先導に従い、その手法を採用します。私たちはそれが理にかなっていることを約束します。

ソフトウェア開発ライフサイクルとセキュリティ対策の重ね合わせを考慮すると、このフレームワークを採用する理由がさらに説得力を持つようになります。悪意のある攻撃者は半年ごとや年ごとに戦術を調整するわけではありません。攻撃が成功しても失敗しても、攻撃のたびに適応しています。サイバーセキュリティは、悪意のある攻撃者が新しい脅威の戦術や手法を開発するのと同じ速さで適応する必要があります。リアクティブからプロアクティブの姿勢にシフトすることで、サイバー防御者は新しい攻撃が発見されたときに迅速かつ効果的に対応できるようになります。  

NIST CSF 2.0 フレームワークの基礎であるサイバーセキュリティの継続的改善の概念を導入することで、インシデントの問題や欠点に対処するためのより動的な対応が可能になります。同時に、数週間から数か月かかる「完全な」ポリシーの作成、検証、最終的な実装を待つことなくギャップを埋める作業が進むため、ギャップをより早く埋めることができます。  

セキュリティデプロイメントライフサイクル

NIST CSF 2.0 の実装は、よく知られているソフトウェア開発ライフサイクル (SDLC) に似ています。アジャイルセキュリティプラクティスは、セキュリティデプロイメントライフサイクルと考えてください。定期的な評価と改善は、プロファイルの概念を使用して行われます。プロファイルは、組織 (またはコミュニティ) 内の多数の関係者の間でサイバーセキュリティリスクを軽減するための共通の関心、目標、および結果を説明します。プロファイルは、現在のプロファイルまたはターゲットプロファイルとして定義されます。現在のプロファイルは、組織のセキュリティの現在の状態です。ターゲット プロファイルは、セキュリティ ポリシーと手順の更新の次の反復後に組織が目指す場所の定義です。今日のセキュリティポリシーを彷彿とさせる、すべてを網羅する巨大なターゲットプロファイルを作成したいという最初の傾向がありますが、それではセキュリティポリシーの目的が達成されません。代わりに、スコープを指定したベースライン組織プロファイルは、NIST CSF 2.0 フレームワークに従うことで期待される出力であり、組織の全体的なセキュリティ体制を企業全体で把握できるようになります。

プロファイルは、段階的な改善を行うために使用される短期的なセキュリティポリシー目標と考えることができます。開発者がスプリントを実施し、各スプリントで機能の一部をリリースするのと同じように、ターゲットプロファイルを設定してそれを達成することで、セキュリティ チームはギャップを埋めることに徐々に近づきます。ここで頭に浮かぶ疑問は、セキュリティチームがセキュリティギャップを部分的にしか埋めたくないのはなぜかということです。その答えは、このアプローチにはメリットがあるということです。  

最初の利点は、セキュリティポリシーがすぐに機能しなくなることです。全体的な方法論を開発し、ツールを購入し、文書化してトレーニングを行った後で、ポリシーの基礎に欠陥があることがわかった場合、段階的なアプローチでは、欠陥を早期に発見でき、欠陥のあるアプローチへの投資が少なくなるため、戦術の変更が早まります。また、ツールのみを購入し、最終的に使用される戦略に沿った取り組みに時間を費やすことができるため、組織にとってコストを節約できるという追加のメリットもあります。

2 つ目の利点は、ギャップを埋めるためには、大規模なポリシー変更や新しいツールの実装を待つ必要があることです。段階的なアプローチでは、ギャップを完全に埋めることはできませんが、最終的な戦略が実装されるまでギャップが完全に露出したままになることもありません。これにより、完全な実装計画が実施されるまで攻撃対象領域が大きく開いたままになるのではなく、段階的に攻撃対象領域が縮小されます。

リーン アジャイル開発からヒントを得ることで、セキュリティは、サイバー防御を継続的に強化する能力を備え、攻撃に対して高度に適応し、応答性を高めることができます。重要なのは、この変化とそれに伴う課題をどのように乗り越えて実装するかを理解することです。

  

課題は何ですか?

これを詳しく見ていきましょう。まず、2000 年代初頭、ウォーターフォールアプローチからリーンでアジャイルなアプローチに移行することに対する開発者の抵抗が大きかったことを認めましょう。アジャイルは安定したソフトウェアの終焉につながると多くの人が考えていました。私たちが知っている世界が終わり、業界の終焉になると考えていました。しかし、それは起こりませんでした。今日、純粋にウォーターフォール主導の開発会社を見つけるのは難しいでしょう。リーン アジャイル開発方法論の利点は十分に文書化されています。明らかに、セキュリティはこれを合理的に認識し、この新しいパラダイムの採用に喜んで同意するでしょう。もう笑うのはやめてください。私たちは皆、セキュリティ、コンプライアンス、およびその他の関連する防壁を、抵抗しながらも前に引きずり出さなければならないことを知っています。変化に抵抗するのは人間の性です。

サイバーセキュリティで成功するには、継続的な改善のために新しいツール、新しいプロセス、新しいアイデアを取り入れる必要があります。さらに、これらすべての中で最も困難な課題の 1 つは、セキュリティを迅速な対応と継続的な改善サイクルに強制する規制が制定されていることです。規制はかつて、セキュリティに対するモノリシックなアプローチを強化するために制定されました。かつてはセキュリティ ポリシーをレビューおよび更新するタイミングに関する「年間または重大なインシデント」のパラメーターが多用されていたベスト プラクティス ガイドラインも、現在ではプロアクティブ、継続的などの言葉を使用しています。  

もう 1 つの課題は、ゲートキーパーの変更です。従来、コンプライアンスと上級管理職が大まかにポリシーを推進し、ツールセット、知識、技術、および政治的な制限を考慮して、ディレクターとマネージャーが実務担当者にポリシーを可能な限り実装するよう管理させました。新しいテクノロジーとそれらへのアクセスのしやすさにより、コンプライアンスは組織全体の責任となりました。誰かがクレジットカードで支払ったクラウド ソフトウェアを中心に重要なビジネス プロセスが構築されているという話は数多くあります。セキュリティとコンプライアンスは「他人」の問題であるという考え方はもはや維持できません。また、仕事をこなすためにセキュリティをバイパスする必要があると認識させる自動的な「ノー」も維持できません。

負けず劣らず、セキュリティに関心のある私たちもおそらく最大の課題となるでしょう。防御の考え方は全体像を把握することです。城は壁の一部を建ててから別の部分に移るというやり方で建てられたわけではありません。しかし、私たちはもはや動かない土地を守るために城を建てているのではありません。私たちが守っているのは、はかない、常に変化する風景です。この風景を守る方法も変えなければなりません。

しかし、どのような機会があるのでしょうか?

すべてが悲観的というわけではありません。この NIST CSF 2.0 の変更により、防御側の装備を強化し、少なくとも少しは公平な競争環境を整える機会が数多く生まれます。継続的改善モデルに移行するということは、新しいツールが利用可能になると、防御チームがテストを開始して、それを武器に組み込むことができることを意味します。これにより、意図したとおりに機能しない、またはビジネス ニーズを満たしていないポリシーやツールを迅速に適応または破棄する機会が得られ、より早く実行できるため、時間とコストを節約できます。

より重要な役割を担うマネージャーやディレクターは、実務者に近い立場にあり、通常、課題をよりよく理解し、現在の状況に基づいて調整が最も必要なポリシーやツールを迅速に特定し、優先順位を付ける立場にあります。このモデルでは、マネージャーやディレクターはそうする権限だけでなく、責任も持っています。  

規制は (ゆっくりと) 真に役立つものへと移行し、要件を満たしながらも効果がない「チェックボックス」の考え方を減らします (完全になくすのは望みすぎです)。移行中は、規制機関やコンプライアンスと連携して、既存の要件を満たしながらも新しい継続的改善モデルへの移行を可能にするマップを作成する必要があります。これを行う 1 つの方法は、「チェックボックス」を活用して、ポリシーが移行し始めたときに規制をカバーすることです。レビューを「少なくとも年に 1 回」という文言を活用すると、ゴールポストは遠いところに置かれますが、レビュー サイクル内での継続的改善も可能になります。プロファイルの使用はこれに役立ちます。コンプライアンス サイクルの開始時の現在のプロファイルは (理想的には) 常にコンプライアンス サイクルの終了時のプロファイルよりもセキュリティが低くなるためです。この注目すべき改善は、どちらのモデルにも完全に一致するものではありませんが、規制ルールが追いつくのを待つ間に組織がセキュリティの継続的改善を実装し始めるための架け橋となるはずです。

セキュリティ担当者にとって、これはチャンスです。継続的な改善により、成熟したサイバーセキュリティの最も困難な部分の一部が取り除かれるか、少なくとも最小限に抑えられます。これには、すでに時代遅れになっているポリシーやツールの実装、変化する脅威環境を反映するようにポリシーを更新するために乗り越えなければならないハードル、ビジネス ニーズをサポートするために新しいテクノロジを追加しようとするときに方向転換する際の困難が含まれます。これらはすべて、大幅に容易になります。うまく行けば、セキュリティが市場の変化に対応するビジネスの障害であるという汚名は消えます。対象を絞った段階的な改善を可能にすることで、セキュリティをより柔軟にし、ギャップを早期に埋め始め、ポリシーが機能する場所と機能しない場所を早期に特定し、急速に変化するビジネス ニーズを満たすためにリソースをより適切に優先順位付けできるようになります。  

セキュリティチームにとっての前進 

開発者とセキュリティは長らくビジネスの会話において対立する立場にありました。開発が多くの年にわたって開かれたドアは、最初は良好で安定したソフトウェアの終焉と見なされましたが、結果として品質の高いソフトウェアの開発が加速し、改善が頻繁に見られ、新機能や機能の追加が期待されるようになり、驚きではなくなりました。この過程でミスもありましたが、その決定が良かったことに異議を唱える人はいません。我々は彼らの過ちから学び、成功を基にしてサイバーセキュリティを前進させ、ビジネスのニーズと増え続ける悪意のある攻撃により良く対応できるようにすることができます。NISTがフレームワークに継続的改善とフィードバックのメカニズムを追加したことは、セキュリティチームが新しい技術や脅威に迅速かつ効果的に適応するのを可能にする、大きな前進であり、ポジティブな一歩です。