サイバーセキュリティとリスク管理について正しい質問をしていますか? 10 年間、米国国立標準技術研究所 (NIST) の情報は、セキュリティ リーダーがビジネス中心の質問を作成するのに役立ちました。セキュリティ専門家、彼らが働いている企業、彼らが働いている業界部門、デジタル脅威に関して現在のテクノロジーと脅威はどの程度進んでいますか?そして最も重要なことは、十分な安全性とはどの程度の安全性であるかということです。

現在 NIST サイバーセキュリティ フレームワークとして広く知られているこのフレームワークは、世界中のセキュリティ担当者がデジタル リスクと資産について異なる考え方をするのに役立ちました。アルベルト・フリードマン氏は、メキシコに本拠を置くセキュリティコンサルティング会社を率いており、このフレームワーク（2014年にリリースされ、2018年に改訂された）は地元の産業だけでなく、米国の組織や米国政府と取引する産業にとっても大きな助けになっていると述べている。

「これにより、顧客は脅威をより認識できるようになります」とフリードマン氏は言います。 「その後、完全に事後対応的なリスク管理戦略ではなく、より先制的なリスク管理戦略を採用します。」

フリードマン氏は、このフレームワークで概説されているサイバーセキュリティの脅威に対する準備、認識、尊重に関する大局的な質問は、政府機関、組織、企業のセキュリティ専門家や幹部に、「完全に包括的な戦略の欠如がビジネスと運営にどのような[悪影響]を与えるか」を実際に理解するよう促すと述べています。

NIST が 10 年ぶりにフレームワークを刷新し、10 年半ばの更新 (バージョン を 1 回行った) と聞いたとき、フリードマン氏はそのためですそして)、彼は興奮していました。

「脅威の進化にさらに重点を置き、組織がリスクに対処できるようにするためのより簡単でシンプルな形式を模索しています」とフリードマン氏は言います。 「そして、これには重要なインフラストラクチャや特定の市場だけでなく、種類や規模に関係なくあらゆる種類の組織が含まれます。」

このアップデートは、米国証券取引委員会（SEC）が投資家への「重大」とみなされるサイバーセキュリティインシデントの通知を義務付ける上場企業に対する新しい要件を施行している時期にも行われた。.

IT 管理会社である SolarWinds の CISO が直面している事実SEC 詐欺容疑関連する2020 年のサイバー攻撃サイバーセキュリティとビジネスのリーダーはさらに興奮し、指導を求めています。

この緊迫した環境で、NIST CSF バージョン 2.0 がリリースされました。その作成者らは、このフレームワークが「IT 室から役員室へ」のガバナンス ガイダンスに新たに焦点を当てていること、および CSF のより詳細なサイバーセキュリティ提案を実装し、それらの提案を特定の業界向けにカスタマイズする方法に関する新しく更新された例とリソースを宣伝しています。

フレームワークの概要とその理由

NIST がリリースされた合計 40 ページ未満で、政府文書史上驚くほど簡潔な長さですが、10 年前に公開されました。同研究所のウェブサイトによると、NISTは商務省の傘下にあり、「経済安全を強化し、生活の質を向上させる方法で測定科学、標準、技術を進歩させることにより、米国のイノベーションと産業競争力を促進する」という正式な使命を持っている。

2023 年 8 月のプレス リリースで、NIST 国家サイバーセキュリティ センター オブ エクセレンスのディレクターであり、CSF の元主任開発者であるチェリリン パスコー氏は、最初のバージョンは考えられるすべての業界をカバーしようとするのではなく、銀行やエネルギーなどの重要なインフラストラクチャに焦点を当てていたと述べました。

しかし、a によれば、リリースから数年が経ち、パスコーさんは、CSF が「学校や中小企業から地方政府や外国政府に至るまで」あらゆる組織にとって役立つことがわかってうれしかったと述べた。.

このフレームワークの広範な採用は、開発者にバージョン 2.0 のインスピレーションを与えました。

「このアップデートでは、フレームワークの現在の使用状況を反映し、将来の使用状況も予測できるように努めています」と Pascoe 氏は、2.0 のドラフト バージョンがパブリック コメントに公開されたときに述べました。 NIST 開発者は、このバージョンに関して、サプライ チェーンのリスクやランサムウェアの脅威などの新たなサイバーセキュリティ問題を念頭に置いていました。

最新の草案に対する数か月にわたるパブリックコメント期間を経て、CSF バージョン 2.0 が 2 月 26 日に利用可能になりました。

このフレームワークが導入される以前のサイバー リスク管理がどのようなものだったのか覚えている人がいるでしょうか?グレッグ・ガツケはそうします。

サイバーセキュリティの世界はベストプラクティスがすべてだった、と IT コンサルティング会社兼マネージド サービス プロバイダー ZAG Technical Services の社長である Gatzke 氏は言います。 「私たちはただ人々に『これをしなさい、あれをしなさい』と言うだけでした。その後、チェックリストに移行し、物事を正しい順序に並べ、ある企業が行っていることを別の企業と比較しました。」と彼は説明します。

このフレームワークはサイバーセキュリティの「成熟プロセス」の一部だったとガツケ氏は言う。

ZAG の IT コンプライアンス責任者、アレン サンタナ氏は、サイバーセキュリティの専門家が「腰から攻撃している」と述べています。

多くの脅威がありましたが、ZAG の顧客である農業部門、つまり食料の栽培と輸送を担当しており、サイバーセキュリティ インシデントが発生した分野では、明確な国、地域、または業界のサイバーセキュリティ標準が機能していませんでした。仕事を中止する数日または数週間続くと、壊滅的な被害を受ける可能性があります。

「レタスは決して新鮮ではありません」とガツケ氏は言います。 「私の世界では、24 時間以内に回復する必要があります。そうしないと、もう終わりです。」

CSF は、農業部門が独自のより具体的な基準を開発する推進力の一部でした。業界団体プロデュース・サプライ・オーガニゼーションが開発NIST からの有益だが意図的に非特定的な推奨事項を、よりターゲットを絞った計画に変える。

サンタナ氏は、組織や競合他社が影響を受けるまでは、上級リーダーが常にサイバーセキュリティに取り組むとは限らないと述べていますが、ガツケ氏は、最近大きな変化が起きていると述べています。

「2、3 年前は、誰もサイバーセキュリティについて話したがりませんでした」とガツケ氏は言います。 「今は、それを望まない組織のほうに驚いています取締役会レベルでそれについて話し合う.”

フレームワークがどのように使用されているか

フレームワークの最初のバージョン -重要インフラのサイバーセキュリティを改善するためのフレームワーク—によって開始されました2013 年 2 月、当時の米国大統領バラク・オバマから。その 1 年後にこの枠組みが発表されたとき、この枠組みは米国連邦政府機関および連邦政府と協力する一部の州政府および外国政府以外には法的に義務付けられることはありませんでした。しかし、多くの組織は現在、ベンダーやサプライ チェーン パートナーに対し、サイバーセキュリティ リスク管理を組織化するための大局的な基準に従うことを求めています。

オクラホマ州の地方銀行 BOK Financial の最高情報セキュリティおよびプライバシー責任者である Paul Tucker 氏は、同氏の金融機関がリスクを評価するためにベンダーが記入するスプレッドシートを送信していると述べています。

それらのリスク評価スプレッドシートでは、「彼らが当社の顧客データにアクセスして使用する場合、彼らはトップに浮上します。」

NIST CSF も地理的には依存しません。フリードマンは、米国組織のサイバーセキュリティアプローチと連携するためにメキシコでこのガイドを使用しており、世界中のセキュリティ専門家は、サイバーリスク管理の出発点として、その単純で広く適用可能なガイダンスに価値を見出しています。 NIST の首席サイバーセキュリティ顧問であり、このフレームワークの 2 つの主要な改訂に関与した NIST 応用サイバーセキュリティ部門の責任者であるケビン・スタイン氏によると、この文書は 180 か国以上で約 200 万回ダウンロードされ、少なくとも 13 の言語に翻訳されています。

---

2、3 年前は、誰もサイバーセキュリティについて話したがりませんでした。さて、私は取締役会レベルでこの件について話したがらない組織のことにさらに驚きました。

---

なぜ CSF はこれほど成功したのでしょうか?スタイン氏は、この文体のおかげでサイバーセキュリティ専門家やその上司がビジネスや政府の多くの分野でこの問題について話し合うのに役立っていると考えています。

「私たちはかなり技術的な機関ですが、10 年前は、サイバーセキュリティを実装するほんの少しの担当者だけでなく、はるかに幅広い聴衆に向けて言語を話す必要がありました」と Stine 氏は言います。 「フレームワークが提供する共通言語は、自社の能力や組織の要件を表現するための非常に優れた方法ですが、技術者だけでなく、リスク管理者やサイバーセキュリティ エコシステムのさまざまな部分が理解し、実行できる方法です。」

タッカー氏によると、ビジネス中心の言語がヒットしたという。  「たとえば ISO (国際標準化機構) の標準では、法律用語のように聞こえます」と彼は言います。 「しかし、このフレームワークを使用すると、文書を読み進めるために翻訳は必要なくなりました。これらすべてがどのように結びついているのかを理解するのに非常に役立ちました。」

BOK Financial は、中小企業がサイバーセキュリティ関連の出来事に見舞われた顧客からの電話を受けており、タッカー氏は時折、顧客を CSF に紹介します。「法的には彼らを助けることはできませんが、NIST フレームワークに関するウェビナーを見に行くようアドバイスすることはできます。そうすることで、回復方法を把握しやすくなります。」

タッカー氏は四半期ごとの取締役会に出席すると述べているが、BOK Financialの幹部は「特定」や「保護」などの用語を使う。

「彼らはそれをどこから学んだのかさえ分かっていないと思います」と彼は言う。タッカー氏は、CSF の 5 つの機能についての長年の議論からそれを理解したのではないかと考えています。

• 特定します。システム、資産、データ、機能に対するサイバーセキュリティ リスクを管理する方法に関する組織の理解。
• 守る。サイバーセキュリティ イベントを防ぐための保護策。
• 検出。出来事を特定する活動。
• 応答してください。イベント直後の行動の手順。
• 回復します。回復力の計画を維持し、イベントの余波で機能とサービスを復元するタスク。

連邦政府機関による最近の動きでは、サイバーセキュリティ事象を追跡して報告し、投資家、顧客、政府に通知しなかった場合、罰金またはそれ以上の罰金を科すと脅迫されているため、銀行業界は目を見開いているとタッカー氏は言う。たとえそれが遠くても、私たちには責任があります。」

バージョン 2.0 の改善の目的

NIST は 2022 年 2 月にフレームワークの新バージョンの計画を開始し、情報要求を開始し、CSF の更新バージョンの中核草案を作成するために関係者とのワークショップを設定しました。 NIST は、2024 年 2 月に最終的な 2.0 アップデートを公開する前に、2023 年 8 月から 11 月までのパブリックコメント期間に向けて草案を公開しました。バージョン 2.0 での最大の変更、そして経営幹部の決定と説明責任の重要性への大きなうなずきは、元の 5 つの機能を支える新機能です。

CSF によれば、統治機能を達成するには、「組織のサイバーセキュリティ リスク管理戦略、期待、ポリシーが確立され、伝達され、監視される」必要があります。 「統治機能は、組織がその使命と利害関係者の期待に照らして他の 5 つの機能の結果を達成し、優先順位を付けるために何をすべきかを知らせる結果を提供します。」

この機能は以前は他のカテゴリに含まれており、その組織的背景、役割、責任は他のすべての部分に影響します。

ガツケ氏はこの変更が気に入っています。「これまでは、ガバナンスが識別と保護に混ざっていましたが、それがすべてにどのように影響するかは明確ではありませんでした。」

NIST のスタイン氏は、Govern が新たな最高額に値すると述べています:「『Govern』は、そのガバナンス レベルで定義されたポリシー、リスク許容度、リスク選好度、およびリスク管理へのアプローチを確実に実現するのに非常に役立つ、組織または企業の原動力であると考えています。その後、それは、他のすべての機能にわたってあなたが取り組む活動に情報を提供し、影響を与えるのに役立ちます。フィードバック ループがあります。」

ただし、サイバーセキュリティ リスク管理プロセスを完全にプラグアンドプレイにする NIST を探している場合は、探し続けてください。この文書は短いですが、組織のリスク許容度と特定の脅威について深く考えることが求められます。人々は常にサイバーセキュリティのチェックリストを求めていますが、NIST の開発者はその衝動に抵抗しました。その代わりに、バージョン 2.0 では、CSF を効果的に使用する方法を示すために、さまざまな企業からのより多くの実装例が取り上げられています。

「フレームワークは実際には、オンライン ツール、実装例、クイック スタート ガイドを含む一連のリソースです」と Stine 氏は説明します。さらに、新しく開発されたプロファイルのサンプルは、ユーザーの次の質問に答えてくれると彼は言います。「OK、このフレームワークはあります。さて、これをどのように利用して、自分のニーズに合わせてカスタマイズするにはどうすればよいでしょうか?」

長年にわたるパブリック コメントにより、NIST は新しいリソースを作成し、他のリソースを 2.0 用に再フォーマットして、ユーザーがフレームワークへのアプローチを最新化およびカスタマイズできるようにしました:

• 。これらは、フレームワークのより深いサブカテゴリでより一般的に説明されている結果を達成する方法の詳細な例を示しています。
• .National Cybersecurity Center of Excellence の旗の下に収集されたこれらは、特定の業界での「同一点と同一点」を比較するために使用できる、特定のビジネス分野向けに開発された多数のアプローチを提供します。
• 組織プロフィールのテンプレート。これらは、特定の組織の現在および目標とするサイバーセキュリティ体制を開発するために使用できます。
• クイックスタート ガイド。これらは、次のような要望の多かった問題に対処します:
  • (サプライ チェーン リスク管理) 「テクノロジー製品とサービスのより賢明な買収者および供給者」になるため
  • CSF 2.0 層システムによるサイバーセキュリティ リスクの特徴付け (これらの 4 層は、部分的で、リスク情報が得られ、再現可能で、適応的です)。
  • エンタープライズ リスク マネージャー、中小企業、業界団体、またはその他のグループ向けの追加サポート.

ハウツー ガイドやより多くの例を提供する仕事に加えて、Stine 氏は、大局的なフレームワークが と組み合わされることに興奮しているとも述べています。オンライン、ウェブサイトの「参考資料」セクションに掲載されています。このツールは、人間と機械が読み取り可能なバージョンのドキュメントを備えています。これは、自動化システムが作業範囲内で CSF をより効果的に活用できることを意味します。

たとえば、多くの組織は、自動化されたガバナンス リスクおよびコンプライアンス ツールをすでに使用している、または使用を検討しているとスタイン氏は付け加えます。

「私たちは、あなたや私が人間として読める形式や方法でコンテンツを提供するだけでなく、多くの組織が取り組んでいるサイバーセキュリティ リスク管理活動に、より優れた自動化機能をもたらすために機械でも活用できるコンテンツを提供したいと考えました。」と彼は説明します。

リファレンス ツールは、より長く、より詳細なツールと組み合わせることができますこれは、プライバシーを含むこのトピックに関する NIST 文書のさらに完全なリストから抜粋したものです。

ZAG のサンタナ氏は、この意見を高く評価しています。「フレームワークは最終的なものであり、最終的なものですが、彼らがアプローチを小規模であまり知られていないアプローチに合わせているのを見るのは素晴らしいことです。」

サイバーセキュリティが多くの企業のリスク管理アプローチに組み込まれているのと同じように、コンサルティングおよびテクノロジー企業 IDMachines の創設者であるサルバトーレ ダゴスティーノも、プライバシーが公式の枠組みにさらに統合される日を夢見ています。同氏は、企業が正確に誰なのか、オンラインやセキュリティによる個人識別方法などでどのようなデータを収集しているのかについて透明性を高めれば、誰もがより安全になるだろうと考えています。 CSF の「姉妹」文書は NIST です、2020 年にリリース。

新しいフレームワークは、バージョンのガバナンス機能のカテゴリやサブカテゴリにプライバシーを含めることで、プライバシーに敬意を表しています。「プライバシーと市民的自由の義務を含む、サイバーセキュリティに関する法的、規制的、および契約上の要件が理解され、管理されています。」新しい文書は NIST にもリンクしています。には、サイバーセキュリティ関連のイベントがプライバシーに関わる場合のいくつかの問題を説明する問題例が含まれています。

「結局のところ、安全を確保するためにそこにいるのであれば、プライバシーを守るためにそこにいるのは間違いありません」とダゴスティーノは言います。 「セキュリティを確保するには、個人情報とデータを収集するための透明性と目的が必要です。」

所有するデータが少ないほど、盗難や漏洩のリスクが少なくなります。

結局のところ、最新かつ最悪のサイバー脅威に対抗するための最新かつ最高のツールに関する重要な動きに関係なく、BOK Financial のタッカー氏はサイバーセキュリティの世界に対して辛抱強く対応しようと努めています。

「銀行業は何百年も前から存在しています」と彼は言います。 「サイバーセキュリティが存在してから、たとえば 25 ～ 30 年が経ちます。私たちは皆、基本的なことを行う方法をまだ模索中です。」

 

ブレンダン ハワードは毎月のポッドキャストのホストですセキュリティ管理のハイライト カジノサイトインターナショナルより。彼は出版とマルチメディアの分野で 25 年近く働いています。

追加レポート作成者:ミーガン・ゲイツ、 の上級編集者セキュリティ管理.

 

最も人気のある記事

1. 連鎖する危機: 米国連邦刑務所は数十年にわたる安全でない人員不足に取り組んでいる

2. 小さいながらも大きな問題: 刑務所内の小型携帯電話の追跡

3. 暴力的な攻撃者にとって、AI チャットボットは危険なほど役立つことが判明