尊敬する同世代の弁護士であり、(多分)友人でもあるカルアパ先生の影響を受け、私も自分の好きな領域について基礎的な内容の記事を書いてみようと思います。
最近人に説明する機会があったこともあり、テーマはセキュリティのフレームワークにしてみます。前編で主要なセキュリティフレームワークを紹介した上で、後日公開する後編ではフレームワーク利用におけるアンチパターンを紹介しようと考えています。
1.セキュリティフレームワークとは
ここでは、
- 法的拘束力を持たない
- セキュリティに関連する
- 一定の網羅性を持った基準
と定義します。その上で、
- 実際に仕事で複数回利用したことがある
- 利用した結果、効果的な使い方を理解できた
ものを取り上げることにします。
2.フレームワークの何が嬉しいの
(1)トップダウン的視点
全体感を掴む事ができる
↓その結果
施策の網羅性を担保できる
↓その結果
(対外的/対内的な)説明可能性が高まる
みたいな所がメリットだと思います。
(2)ボトムアップ的視点
「何かしなければいけないことは分かっているが、具体的に何をして良いかわからない」といった場合に、辞書を引くような感覚で必要な施策に当たりをつけられるのがメリットだと思います。
3.フレームワークの具体例
この記事を見て皆さんに「原文を読んでみよう」「使ってみよう」と思ってもらう事が目的なので、私なりの評価を踏まえた使い方も書いてみます。
(1)NIST Cyber Security Framework(以下CSF) 原文 / 翻訳
概要
CSFは、
- セキュリティに関する大まかな概念を説明し
- その概念を5つの機能に分割して
- 各機能を構成する要素をカテゴリーとして網羅
した資料です。「2.フレームワークの何が嬉しいの」でも一部書きましたが、フレームワークは「全体像を掴めること」と「理解が進むに連れて増加してくる個別の細かい概念を整理する箱を用意してくれること」に大きな価値があると思っています。これを叶えてくれるのがCSFです。
使い方
個人的には、セキュリティを勉強しだしたら最初に読むべき資料だと思っています。また、以下で述べる各種フレームワークとの紐付きも整理されているので、色々と知識が広がってきた時に関係性を整理するのにも役立ちます。
(2)NIST SP800-53(以下SP800-53) 原文 / 翻訳
概要
セキュリティフレームワークのデファクトスタンダードと言っても良いと思います。医療系のシステムや制御系のシステム等、個別の分野でもこの基準がそのまま利用されたり一部修正しながら準用されたりしています。
もともとは(高いセキュリティ水準が求められる)政府機関向けの基準として位置付けられていましたが、{高/中/低}とランク分けがなされておりそのランクごとに守るべきルールが設定されているので、低の水準で見ればそれ程高い水準が求められている訳ではありません。
使い方
CSFとの違いは記載の具体性です。CSFはセキュリティとして持つべき「機能」は何かという視点で書かれていますが、SP800-53はそれをルールに落とし込んだときにどのようなものになるかについて書かれています。なので…
- CSFで全体像を掴んだ後に、領域ごとにその理解を深める
- {高/中/低}の違いから、システムの重要度からくる要求の違いを理解する
- これをベースに網羅的なセキュリティ規程を作る
辺りが用途として想定できると思います。
(3)CIS CSC 原文 / 翻訳
概要
SP800-53の中から、より優先度が高いルールを10個に絞って抜き出し解説を加えたものです。 SP800-53はとても役に立つフレームワークなのですが、いかんせん量が多く読み込むだけでも骨が折れます。
取っ掛かりという意味で、まずは優先度の高い10のルールに絞って理解するというのは賢いやり方だと思います。
使い方
【後編】のアンチパターンでも書く予定ですが、セキュリティに関する新規の取り組みを成功させる秘訣は「スモールスタート」とそれに基づく「成功体験」だと思っています。下手に手を広げるよりは、まず優先度の高い10個に取り組んでみるのはとても良い方法だと思います。
(4)NIST SP800-171(以下SP800-171) 原文 / 翻訳
概要
SP800-53のサブセットです。(正確性を犠牲にして)ざっくり説明すると…
- SP800-53:政府機関のシステムに関する基準
- SP800-171:政府機関へ調達を行う私企業のシステムに関する基準
という位置付けです。なので政府の機密情報レベルではないが、保護する必要性の高い情報を守るための基準というイメージです。SP800-53を一部間引きながらルールを構成しています。
使い方
NIST(アメリカの組織です)が策定した政府への調達に関する基準という背景から、軍需産業に明るい基準だという理解です。アンオフィシャルな周辺情報なんかも含めると、重工業系の企業なんかは参考になる所が多いかもしれません。
そういえば、日本でも「政府調達の要件としてSP800-171を守らせよう」みたいなニュースを見た記憶がありますが最近どうなんでしょうか?
(5)COBIT 原文
概要
今まではNIST発行のフレームワークが多かったですが、こちらはISACAという団体が管理している基準です。ISACAはCISAというシステム監査に関する資格を管理している事で有名な組織で、結果として技術的というよりは「ガバナンス」「マネジメント」寄りのフレームワークになっています。
使い方
とても詳細で良い基準なのですが、読み手/聞き手に高いリテラシーを要求するフレームワークだと思っています。私も頑張って折に触れ読み込んではいるのですがあまり使いこなせている自信はなく、それを聞き手の人に上手く伝えられている自信はもっとありません。
NISTの各種フレームワークにおける要件とは紐づけられているので、私は
- NISTの各要件を違う団体が言い換えた場合どうなるのか
を理解するためのツールとしてよく使っています。やはり書き手が変わると視点や強調するポイントも変わるので、とても理解が深まります。
(6)政府統一基準 原文
概要
今までは海外のフレームワークが続きましたが、こちらは日本の政府におけるセキュリティフレームワーク…というか、日本の政府機関が実際に遵守しているルールです。各省庁はこの政府統一基準を元に、それぞれ個別のプライバシーポリシーを定めています。*1
使い方
海外のフレームワークは(一部IPAが訳を公開してくれてるとはいえ)日本語で深く理解するのは中々難しい所があります。
政府統一基準はもちろん全編日本語で書かれているので、「日本語で書かれたひとまとまりのルールを概観したい」みたいな目的にあっていると思います。個人的には、政府機関以外でももっと有効活用されて良い文書だと思っています。
(7)PCIDSS、FISC安全対策基準
概要
金融系に特化したフレームワークです。皆さんご存知の通り、金融はお金に直結する分、セキュリティの要求水準が非常に高く設定されています。私もこれらのルールを初めて読んだときは「ここまで具体的に書くのか…」とびっくりした記憶があります。
使い方
金融系の方は嫌でも使っていると思いますので、非金融系の方向けの使い方について書きます。「概要」で申し上げた通り内容が非常に具体的なので、他のフレームワークで要求されているルールを深く理解するのに適していると思います。具体性という点において、これらのフレームワークは明らかに異質です。
また、あまりセキュリティに馴染んでおられない方は、むしろこれらの具体的な基準から勉強を始めた方がイメージを持ちやすくて理解が進むかもしれません。
(8) ISO27000シリーズ
諸悪の根源。*2