NISTのCSFで産総研の報告書を検証してみた

前回せっかく産総研の報告書を読んだので、もう少し何か活用できないかと思い記事にしました。

私は「セキュリティ人材◯◯人不足」みたいなのには懐疑的で、足りていないのはセキュリティ専門家の数ではなく、非専門家の方に対する丁寧な説明だと思っています。皆さんがちょっとでもセキュリティに興味を持っていただければ嬉しいです。

1.前置き

アメリカ国立標準技術研究所（National Institute of Standards and Technology)のことを言います。

アメリカという一国家の研究所ではあるのですが、セキュリティに関する方向性を事実上決めている機関と言っていいと思います。最近だと「パスワードの定期変更はやめた方がいいよ」と言ったSP800-63が有名で、これを受けて総務省が方針を変更した所からもNISTの影響力の大きさが伺えますよね。

NISTは前述のSP800-63含め、セキュリティに関する色々な文書を発行することで影響力を発揮しています。発行文書の中でもとりわけ有名なものの一つがCSF(Cyber Security Framework)です。

これはセキュリティに関する取り組みを網羅的にまとめたフレームワークで、特徴としては

といった点が挙げられます。

2点目について補足すると、数年前から「セキュリティでは完全に防御しきるのではなく、防御が破られること（もあり得ること）を前提に対策をしよう」と言う考え方が強くあり、これを反映して特定や防御ばかりを重視するのではなく、検知・対応・復旧も含めた5つの分類を採用しています。

今回の産総研のニュースを聞き、私が最初に（素朴に）感じたのは、

年金機構での反省ってどの程度活かされているのかな

というものでした。

年金機構は正確には特殊法人ですし厚労省管轄なので、経産省管轄の独立行政法人である産総研と直接の関わりはありません。とはいえ、年金機構の一件以来国として多くの施策を打ってきたはずであり、その効果はどの程度出ているのかが気になりました。

この先時間を見つけて年金機構の事件もブログで振り返ってみたいと思っていたので、共通して使えるフレームワークを用いて検討ができたらいいなと思ったのが１点目です。

CSFは「特定・防御・検知・対応・復旧」と言う5つの分類を採用していることは先に述べました。

そして、CSFに関する文脈では「特定・防御は一定程度進んでいるかもしれないが、これからは検知・対応・復旧能力を高めるべき」と言うことがよく言われます。今回はこう言った主張が現在の独立行政法人にも当てはまるのかを検証したいと言う思いがありました。

より端的に言えば、

そもそも特定・防御が未だに全然出来ていないみたいな状況って無いのかな

というものです。

今回は、産総研の「産総研の情報システムに対する不正なアクセスに関する報告」（以下、報告書）のうち「6. 被害を発生・拡大させた要因」に記載されている項目を、NIST CSF ver1.1に紐付けて、どのような部分で多く指摘を受けたのか検証しました。

結果はこのようになりました。

上記記載の基礎データとして、googleスプレッドシートをこちらに置いておきます。（なお紐付け・カウント間違いに関するご指摘には誠実に対応する所存です…）

より前段の取組み（特定・防御）の方が指摘を多く受けていることがわかりました。復旧に2ヶ月弱かかっていることを踏まえると、「対応」「復旧」でもっと多くの指摘が出ても良いのかなと言う気もしますが、これは報告書の前提・建付けに起因する気もしますね。

重要情報の管理についてルールはあるが、分権型ガバナンスの下、どのように管理されているかチェックが行われていなかった。パスワードの生成、管理についても、職員への指導、チェックが十分ではなかった。（報告書6.4.7）

との記載については、分権型ガバナンスってそう言う話だっけ…と言うのはちょっと気になります。

また、

CISO は副理事長であり、統括情報セキュリティ責任者は情報基盤部長であるが、組織上、情報基盤部は環境安全本部の中にあり、CISO と情報セキュリティ責任者間での意思疎通の迅速性に欠けることがあった。（報告書6.4.2）

みたいな、上の人の責任に言及する部分になると一気に表現が曖昧になる（責任の所在が不明確になる）部分は、年金機構の報告書でもあった記憶です。このような表現ってサイバーセキュリティ経営ガイドラインとかで、経営層に責任をしっかり認識させようとしている方向性と整合するのかな、と言う疑問はあります。

以上です。産総研の報告書を使った記事を2つ続けましたが、本当に勉強になりました。

執筆に関与された方々ありがとうございました。