セキュリティ分野における「フレームワーク」とは、セキュリティを確保する目的で定義・策定された指針やセキュリティ対策基準、ガイドライン、ベストプラクティス集などのことです。フレームワークを活用することで、効率的に質の高いセキュリティ対策を実装することができます。
本記事では、セキュリティフレームワークが注目される背景、フレームワークの種類、活用時のポイントなどについて解説します。
- セキュリティ分野におけるフレームワークとは
- セキュリティフレームワークが注目される背景
- さまざまなセキュリティフレームワーク
- セキュリティフレームワークの採用・適用におけるポイント
- サービス紹介
- おわりに
- 参考 セキュリティフレームワークの紹介
- 関連するITソリューション
- パブリシティ
セキュリティ分野におけるフレームワークとは
フレームワーク(Framework)とは、もともと「骨組みや枠組み」という意味の英単語ですが、セキュリティ分野において「フレームワーク」とは、情報セキュリティもしくはサイバーセキュリティを確保するために策定・定義された指針やセキュリティ対策基準、ガイドライン、体系立てて整理されたベストプラクティス集などのことを指します。
なお、フレームワークとセキュリティ対策基準、ガイドラインなどを区別して扱うこともありますが、本記事では、上記のようにセキュリティ対策基準やガイドラインなどを含む比較的広い意味でフレームワークを捉え、これらを総称して「セキュリティフレームワーク」と記載することにします。また、情報セキュリティとサイバーセキュリティも区別されることがありますが、以降の解説では両者を区別せず、単に「セキュリティ」という言葉を用いることにします。
セキュリティフレームワークを活用するメリット
セキュリティフレームワークを活用することで、セキュリティ対策の抜け漏れを防ぎ、効率的に質の高いセキュリティ管理態勢を構築することが可能になります。また、フレームワークに従ってセキュリティ対策を実装していることを第三者機関が審査・認定する「認証制度」が存在するようなフレームワークの場合、その認証を受ければ取引先や顧客からの信頼獲得にもつながります。
セキュリティフレームワークが注目される背景
セキュリティフレームワークは古くからさまざまなものが存在しますが、サイバー攻撃被害の深刻化などを背景として、昨今注目されています。
サイバー攻撃はますます巧妙化し、重要インフラ事業者や国家の基幹産業を担う企業への攻撃により我々の生活に影響を及ぼす甚大な被害も発生しています。また、近年ではデジタル化の進展に伴い、システム間の相互接続やクラウドサービスの活用が進み、企業が保有する情報資産もクラウド上のものから従業員個人の端末上のものまで多岐にわたるなど、セキュリティを確保することの難度が著しく高まっています。
このような状況において、何らかの指針やガイダンスなしに広範な企業活動全般にわたって効果的かつ網羅的なセキュリティ対策を実装することは、非常に困難であると言えます。そこで、各国の政府関係機関や非営利団体などが自国のセキュリティや特定領域のセキュリティを確保するために、セキュリティフレームワークの策定や改訂を進めています。
さまざまなセキュリティフレームワーク
セキュリティフレームワークには多様な種類が存在し、また評価軸の取り方によって、いくつかの観点で分類することが可能です。
たとえば、法令で準拠が強制されているものや、業界団体が策定していて事実上の標準(デファクトスタンダード)となっているものから、準拠や実装が完全に任意のものまで、その強制力には幅があります。また、フレームワークがカバーする範囲や記載のレベル、抽象的・概念的な記載か、具体的な記載かなども大きく異なります。さらに国際的に知名度が高いか、日本国内でのみ通用するものか、などという観点で分類できます。
ここでは「概念的な内容が多いか、具体的な内容が多いか」という評価軸と「セキュリティ対策全般を志向しているか、特定の領域を志向しているか」という評価軸で、代表的なセキュリティフレームワークを評価し、図示してみます。図示する代表的なフレームワークは以下の8つです。
- サイバーセキュリティ経営ガイドライン Ver3.0
- ISO/IEC 27001:2022およびISO/IEC 27002:2022
- NIST Cybersecurity Framework Ver1.1
- NIST SP 800-53 Rev.5
- NIST SP 800-171 Rev.2
- FISC安全対策基準 第11版
- PCI DSS (Payment Card Industry Data Security Standard) v4.0
- CIS Controls V8
セキュリティフレームワークの採用・適用におけるポイント
セキュリティフレームワークを採用・適用していく上では以下の3点がポイントとして挙げられます。
- 複数のフレームワークを適宜併用すること
- サードパーティプロバイダーによる支援を検討すること
- 導入後も継続的に自社のセキュリティを強化・改善していくこと
この3つのポイントについて1つずつ解説していきます。
1. 複数のフレームワークを適宜併用すること
ここまでで紹介したもの以外にもセキュリティフレームワークは多数存在しますので、どのセキュリティフレームワークを採用すれば良いのか迷ってしまうかもしれません。しかし、セキュリティフレームワークは厳選してどれかひとつを採用するというよりは複数のフレームワークを適宜採用することが望ましいです。それぞれのセキュリティフレームワークは記載の抽象度や扱う領域もさまざまであり、相互に相容れないものでもありません。複数のセキュリティフレームワークの特徴をよく把握し、自社のビジネスや置かれている状況などに適したセキュリティフレームワークを検討するのが良いでしょう。たとえば金融業界でビジネスを展開している企業であれば、業界標準のFISCの安全対策基準に準拠することが重要であり、その上で、さらに自社のセキュリティを強化・推進する上で利用可能なセキュリティフレームワークの採用を検討するのが良いでしょう。
ただ、NISTのフレームワークやISO/IECのフレームワークは原典が英語であることや記載量も多い場合があり、セキュリティ対策がそれほど進んでいない組織にとっては最初に取り組むフレームワークとしては難度が高いことも確かです。そのような場合は日本語で記載されていて、かつ経営の視点から全体像を把握しやすい経済産業省/IPAの『サイバーセキュリティ経営ガイドライン』を最初に確認し、その上でその付録に記載されている他のフレームワークや参考情報を手掛かりにセキュリティ対策を進めていくという取り組み方がおすすめです。
2. サードパーティプロバイダーによる支援を検討すること
セキュリティフレームワークを適用するにあたって、自社の人的リソース次第では、サードパーティプロバイダーの支援を得ることを検討しても良いかもしれません。たとえば、認証制度があるものについては、コンサルティングサービス会社などが認証支援サービスを展開しています。また、認証制度がなくてもセキュリティフレームワーク適用のコンサルティングサービスを展開している会社は多く存在します。
3. 導入後も継続的に自社のセキュリティを強化・改善していくこと
セキュリティフレームワークは、それを実装・準拠したら終わりではなく、常に自社の状態を監視・監査し、継続的に自社のセキュリティを強化・改善していくという活動が重要です。また、時代の変化に合わせてセキュリティフレームワークもバージョンアップを重ねていくことが一般的で、セキュリティフレームワークのバージョンアップに合わせて、自社のセキュリティ対策を見直していくことも必要です。
認証制度があるセキュリティフレームワークは、制度的な監査があるのでバージョンアップ対応も含めて継続的な改善に取り組みやすいと言えます。一方、認証制度がないセキュリティフレームワークを活用するにあたっては、継続して改善や見直しに取り組むことが重要と言えます。
サービス紹介
以下では、セキュリティフレームワークを適用もしくは準拠するためのコンサルティングサービスについて紹介します。
日本電気株式会社(NEC) セキュリティリスクアセスメントサービス
さまざまなセキュリティ基準やセキュリティガイドラインに照らして、組織内の制度やルール、システムにおけるリスク、現状の対策状況を評価・分析し、その上で、今後のセキュリティ戦略策定・対策の計画立案を支援するサービスです。
セキュリティリスクアセスメントサービス : セキュリティ プロフェッショナルサービス | NEC
株式会社ラック CIS Controlsアセスメントサービス
国際的なセキュリティガイドラインCIS Controlsにラック独自の知見を加え、社内のIT環境やサービス提供環境についてヒアリングを行い、セキュリティ対策の成熟度評価、現状の課題や対策すべきポイント等を助言するサービスです。
CIS Controlsアセスメントサービス | 株式会社ラック
株式会社大和総研 セキュリティサービス
国内大手証券会社のサイバーセキュリティ対策支援で培った実績をもとに、お客様がサイバーセキュリティ対策を的確かつタイムリーに行えるよう、サイバーセキュリティ体制の構築・運用を支援するサービスです。
サイバーセキュリティ対策 | 大和総研
おわりに
セキュリティフレームワークを活用するにあたり重要な点は、自社の置かれている状況をよく見極め、自社のビジネスの目的と戦略を十分考慮することです。さまざまなフレームワークの中から自社に適するものを取捨選択およびカスタマイズしつつ採用することで、自社のセキュリティを効率的に強化・推進していくことが可能です。
参考 セキュリティフレームワークの紹介
以下では主なセキュリティフレームワークをいくつか紹介します。
サイバーセキュリティ経営ガイドライン Ver3.0
経済産業省とIPA(独立行政法人情報処理推進機構)が共同で策定しているガイドラインです。2015年に初版が公開され、2023年3月に第3版『サイバーセキュリティ経営ガイドライン Ver3.0』が公開されました。経営者のリーダーシップの下、サイバーセキュリティ対策を推進する必要があるとの考えに基づき、サイバー攻撃から企業を守るために経営者が認識すべき「3原則」と経営者が情報セキュリティ対策の担当幹部(CISO等)に指示すべき「重要10項目」がコンパクトかつ分かりやすくまとめられています。また本文に付属する付録も充実しており、具体的なセキュリティ対策を実装する際の参考情報として活用できます。
日本国内企業においてサイバーセキュリティフレームワークを検討する際に、最初に参考にするガイドラインと言えます。
(参考URL)
経済産業省 「サイバーセキュリティ経営ガイドラインと支援ツール」
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
ISO/IEC 27001:2022およびISO/IEC 27002:2022
いずれも国際標準化機構(ISO:International Organization for Standardization)と国際電気標準会議(IEC:International Electrotechnical Commission)が共同で策定しているものであり、情報セキュリティマネジメントシステム(ISMS:Information Security Management System、以下ISMSと略記)を構築、実装、維持、改善していくためのフレームワークです。なお、ISMSとは、セキュリティリスクを適切に管理し、情報の機密性、完全性、可用性を確保していく仕組みのことです。
ISO/IEC 27001ではISMSが満たさなければならない要件が定義されています。たとえばリーダーシップ、リスクマネジメント、ISMSのためのリソースの確保、ISMSの有効性の評価・改善など、組織としてどのようなことをする必要があるかということが記載されています。また、ISO/IEC 27002にはISO/IEC 27001に基づいてセキュリティ対策を実装する際に利用できる具体的なガイダンスが記載されています。たとえば情報セキュリティポリシーの策定、記憶媒体の取り扱い方法、データ漏洩防止策など4分類(織的、人的、物理的、技術的)合計93項目にわたってガイダンスが記載されています。
ISMSには「適合性評価制度」が存在します。第三者機関がISO/IEC 27001に沿って評価対象の組織を審査し、ISO/IEC 27001の要件を満たしていると判断されると、その組織は「ISMS認証」を受けることができます。なお、ISO/IEC 27001およびISO/IEC 27002はいずれも2022年に改訂され、情報セキュリティ分野だけでなく、これまで網羅されていなかったサイバーセキュリティ分野の概念も取り込むようになりました。
(参考URL)
International Organization for Standardization 「ISO/IEC 27001 Information security management systems Requirements」
https://www.iso.org/standard/27001
International Organization for Standardization 「ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls」
https://www.iso.org/standard/75652.html
NIST Cybersecurity Framework Ver1.1
米国国立標準研究所(NIST:National Institute of Standards and Technology、以下NISTと略記)が策定したフレームワークです。正式名称は『重要インフラのサイバーセキュリティを改善するためのフレームワーク』(Framework for Improving Critical Infrastructure Cybersecurity)であり、文字通り米国の重要インフラ事業者向けのフレームワークとして策定されました。しかし、汎用的な内容であることから、現在では国や分野を問わず広く利用されています。
このフレームワークでは、サイバーセキュリティに関わる機能を「特定」、「保護」、「検知」、「対応」、「回復」の五つに分類し、各機能のカテゴリ・サブカテゴリごとにあるべきサイバーセキュリティ対策が示されています。組織におけるセキュリティ対策の現状把握、セキュリティ対策の実装や改善の手引き、優先順位付けや投資判断、コミュニケーションのツールとして有用であり、近年多くの組織で活用が進み、注目されています。
(参考URL)
National Institute of Standards and Technology 「Cybersecurity Framework」
https://www.nist.gov/cyberframework
NIST SP 800-53 Rev.5
米国NISTが策定・公表しているセキュリティ対策集です。正式名称は『組織と情報システムのためのセキュリティおよびプライバシー管理策』(Security and Privacy Controls for Information Systems and Organizations)であり、組織の業務や情報資産をサイバー攻撃や自然災害、人的過失など、さまざまな脅威やリスクから保護するためのセキュリティ対策を20種類に分類して示しています。ここで列挙されているセキュリティ対策はすべて実装しなければならないものではなく、組織のセキュリティ要件や直面する脅威やリスクに合わせて取捨選択あるいはカスタマイズして実装することが想定されています。
米国連邦政府機関はここに示されているセキュリティ対策を実施することが法令で定められていますが、このセキュリティ対策集は網羅的かつ汎用的であり、民間の組織にとっても有益だと考えられます。
(参考URL)
National Institute of Standards and Technology 「SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations」
https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final
NIST SP 800-171 Rev.2
米国NISTが策定・公表しているセキュリティ基準で、正式名称は『非連邦政府のシステムと組織における管理すべき非機密情報の保護』(Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations)です。米国連邦政府機関以外の情報システムと組織において「機密情報ではないが管理すべき情報」(Controlled Unclassified Information)を保護するために実施すべきセキュリティ対策の要件を、前述の『NIST SP 800-53 Rev.5』から抜粋し、14種類に分類して示しています。米国連邦政府機関が業務を委託する際に、受託業者との契約に際してこのセキュリティ基準を使用することが意図されています。サプライチェーンリスク管理についての直接的な要件は記載されていませんが、米国連邦政府機関から直接業務を受託する企業だけでなく、その下請け企業もここに示されている要件への対応が必要であるため、サプライチェーンにおけるセキュリティ対策として頻繁に言及されます。
防衛省の外局である防衛装備庁が2022年4月に防衛産業におけるサイバーセキュリティ強化を目的に『防衛産業サイバーセキュリティ基準』を整備しましたが、この新基準はNIST SP 800-171 Rev.2を参考に作成されており、従来の基準と比較してより厳格なセキュリティ対策が盛り込まれたものとなっています。サプライチェーン上の脆弱性を狙った攻撃の増加を背景として、今後は日本においてもこのNIST SP 800-171 Rev.2をもとにした何らかのセキュリティ基準策定の動きが広がる可能性があり、注意が必要です。
(参考URL)
National Institute of Standards and Technology 「SP 800-171 Rev. 2 Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations」
https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final
防衛装備庁 「防衛産業サイバーセキュリティ基準の整備について」
https://www.mod.go.jp/atla/cybersecurity.html
FISC安全対策基準 第11版
FISC(公益社団法人金融情報システムセンター)が刊行している金融業界向けのセキュリティ対策基準であり、正式名称は『金融機関等コンピュータシステムの安全対策基準・解説書』です。初版は1985年に刊行され、その後も金融機関を取り巻く環境の変化に応じて改訂を重ねており、現在の最新版は第11版です。
かつては金融庁が金融機関を検査する際の「金融検査マニュアル」で参照されており、検査官が必要に応じてこの安全対策基準・解説書に基づいて確認を行っていました。現在は「金融検査マニュアル」は廃止されており、この安全対策基準・解説書には法的な強制力はありません。しかし、金融機関ではこの安全対策基準・解説書を基にシステムを構築・点検することが定着しており、事実上の標準(デファクトスタンダード)となっていると言えます。
(参考URL)
金融情報システムセンター 「『金融機関等コンピュータシステムの安全対策基準・解説書』(第11版)」
https://www.fisc.or.jp/publication/academic/005831.php
PCI DSS (Payment Card Industry Data Security Standard) v4.0
クレジットカードの国際ブランド5社(American Express、Discover、JCB、MasterCard、VISA)が2004年に共同で策定した国際的なセキュリティ基準です。現在は同じくこの5社が設立した団体PCI SSC(Payment Card Industry Security Standards Council)によって管理・運用・普及促進されています。
このセキュリティ基準には6つの目的とそれを達成するための12の要件が定められており、12の要件はさらに約400項目に細分化されています。クレジットカード情報を処理する事業者はこれらの要件を満たし、PCI DSS認証を取得することが必須となっています。2022年3月には改訂版『PCI DSS v4.0』が公開され、オンラインスキミングなどの新しい攻撃手法への対応が取り込まれました。
(参考URL)
Security Standards Council 「PCI DSS: v4.0」
https://docs-prv.pcisecuritystandards.org/PCI%20DSS/Standard/PCI-DSS-v4_0.pdf
CIS Controls V8
米国の非営利団体であるCIS(Center for Internet Security)が策定・公表しているセキュリティ対策集です。153の具体的かつ実践的なセキュリティ対策を18種類に分類して示しています。さらに「実装グループ」という優先順位付けのための概念が導入されていて、153のセキュリティ対策はIG1~IG3(IGはImplementation Groupsの略)という3つの「実装グループ」に分類されています。IG1にはすべての組織が実装すべき基本的なセキュリティ対策が含まれており、IG2にはIG1のセキュリティ対策に加えてさらに追加で実装すべきセキュリティ対策、IG3には153項目すべてのセキュリティ対策が含まれています。IG1~IG3は組織の人的リソース規模やリスクレベルと紐づけられており、自組織の人的リソース規模やリスクレベルと比較して、どのレベルのセキュリティ対策まで実装すべきかの目安として使えるようになっています。
(参考URL)
Center for Internet Security 「CIS Critical Security Controls」
https://www.cisecurity.org/controls
