NCSCのサイバーアセスメントフレームワーク(CAF) - ガイド
CAFは、組織が重要業務に対するサイバー脅威にどの程度対応できているかを評価します。サイバー攻撃の結果は、攻撃対象のコンピュータシステムの性質や攻撃者の目的に応じて大きく異なります。災害の影響が甚大または壊滅的な場合、非常に高いレベルのサイバーセキュリティと柔軟性が求められます。こうした背景から、全体の利益に資する必須サービスや事業を運営する機関向けに、NCSCはサイバーアセスメントフレームワーク(CAF)を策定しました。
%2520by%2520NcSC.jpeg)
NCSCとは何か
イギリス政府のデータ保護に関する手続きの専門機関です。2016年、政府の5年計画データ保護戦略の一環として設立されました。GCHQの一部として活動し、イギリスの監視や情報収集を担う機関です。法執行機関、官公庁、民間部門と密に連携し、イギリスの重要な国家インフラやその他の必須システムを守っています。
脅威情報、インシデント管理、脆弱性評価、サイバーセキュリティのベストプラクティスに関する助言など、幅広いデータ保護サービスとアドバイスを提供しています。また、プライバシーリスクへの意識向上にも努め、個人と企業が情報セキュリティ対策を向上できるよう、研修や資料も用意しています。
運用面での任務に加え、サイバーセキュリティの基準設定や、サイバー犯罪に関するガイドライン・政策の策定も担当します。さらに、アメリカ、カナダ、オーストラリア、ニュージーランドの情報機関と共にファイブアイズの創設メンバーとなり、国際的なパートナーと協力して世界規模のデータ保護推進に寄与しています。
CAFとは何か
NISサイバーアセスメントフレームワーク(CAF)は、重要業務に対する仮想的リスクの管理能力を評価するための、体系的かつ包括的な手法です。これは同意管理を行う組織や、レギュレーターの代理として活動する適正な第三者によっても利用できます。
NCSC CAFで示されたサイバー犯罪や柔軟性の概念に基づいており、単なる作業リストではなく、14の規制は結果や達成すべき具体的目標として記載されています。次に、上位の指針に詳細を加えた、良好な実践の指標(IGP)の体系的セットについて詳述します。
国内のサイバーセキュリティ技術の権威として、効率的なサイバー規制促進を目的にCAFが作成されました。なお、NCSC自体は規制権限を持たないため、サイバー空間で規制対象となる組織は、CAFの利用について各自の規制当局と相談してください。
4つのCAF目標と14の規制
NCSCの上位CAFは、OESやCAがNISガイドラインに適合するのを支援します。目標は4つに分かれています:
目標A:事業活動に対する脅威への対応
重要業務を支えるネットワークと情報システムが、適切な組織体制、規範、手法を備え、セキュリティリスクを分析、評価、監視できるようにします。
- A1. Government
企業のネットワークおよび情報セキュリティ規則を実施する。
- A2. Risk Management
セキュリティリスク評価とその理解、そして全社的なリスクマネジメント戦略を採用する。
- A3. Asset Management
重要業務に必要な全システムとサービスを特定し、把握する。
- A4. Logistics
外部サプライヤーに関連するネットワークと情報システムの脅威を把握し、管理する。
目標B:サイバー犯罪から守る
重要業務を支えるネットワークと情報システムが、相応のセキュリティ対策によりサイバー攻撃から守られる。
- B1 Service protection policies and processes
重要業務を支えるシステムとデータを守るための組織的な規範と手続きを策定し、普及させる。
- B2. Identity and access control
重要なネットワークと情報システムへのアクセスを把握し、記録し、管理する。
- B3 Data Security
蓄積または電子的に送信されたデータを、重要機能に損害を与える行為から守る。
- B4. System security
重要なネットワークと情報システムのサイバーセキュリティを確保する。
- B5 Resilient networks and systems
サイバーの耐性を高める。
- B6 Staff awareness and training
従業員が重要業務のサイバーセキュリティを向上できるよう支援する。
目標C:サイバーセキュリティ事象の検知
重要業務に影響するセキュリティ防御やサイバー保護事象が監視される。
- C1 Safety monitoring
セキュリティ課題とその効果を監視する。
- C2 Proactive security event discovery
該当するネットワークや情報システムにおける異常を発見する。
目標D:オンライン上のプライバシー侵害の影響を最小限にする
サイバー犯罪の発生は軽減され、重要業務が復旧される。
- D1. Response and recovery planning
インシデント対応と被害緩和の手順を実施する。
- D2. Lessons Learned
事例から学び、重要業務体制の強化に活かす。
CAFの要求事項
以下の前提条件を満たすよう設計されました:
- オンライン上のプライバシー侵害に対する耐性評価の枠組みを提供する。
- 成果重視のNCSCサイバー犯罪および耐性の原則を遵守し、単なるチェックリスト的評価を避ける。
- 既存の保護勧告や基準と合致する。
- 効果的なオンライン侵害および耐性向上の対策を特定する。
- 業界を問わない共通のコアバージョンとなる。
- 必要に応じて業界特有の要素を組み込む。
- 規制当局が示す適切かつ相応のセキュリティを反映する具体的な目標設定を、組織が行いやすくする。
- 簡単で実行しやすい。
結果と関連する成果
CAFを利用すると、合計39の評価項目が算出されます。それぞれ、特定のIGP群が調査対象組織にどれだけ適合しているかを主観的に評価したものです。全39項目が「達成」と判断された場合、最低限の「基本的サイバーハイジーン」を大きく上回る水準のサイバーセキュリティが実現されているとみなされます。
NCSCには、何が適切かつ合理的なサイバーセキュリティや耐性対策であるかを指示する権限はありません。規制対象組織がCAF評価で達成すべき目標は、該当する規制当局が定める必要があります。
NCSCは、サイバー耐性の監視役割を持つ他の機関と協力し、各組織が重要業務に対するセキュリティリスクを効果的に管理するため、どの評価項目が最も重要かを見極め、その結果の解釈方法を策定中です。組織にとっての適切かつ相応のサイバーセキュリティとは、優先された評価結果と整合する初期的見解となります。CAFプロファイルの一例として、この方法で最も関連性が高い評価項目の部分集合が挙げられ、これが規制対象組織の目標設定の基礎となります。
実際、CAFプロファイルには、達成、部分的達成、または該当しないと評価される結果が混在し、プロファイルレベルで求められるサイバーセキュリティ能力に不足していることも示され得ます。
良好な実践の指標(IGP)とCAF
良好な実践の指標(IGP)は、特定のサイバーセキュリティ分野における優れた実践例を示すため、NCSCが作成した一連の声明です。ガバナンス、リスク管理、アクセス制御、ネットワークセキュリティ、インシデント管理など、幅広いサイバーセキュリティ実践を網羅しています。
IGPは、企業が安全な運用の定義とその実施方法を理解するための指針となることを目的としています。
CAF IGPテーブルの活用
以下のテーブルは、CAF IGPテーブルに示された指標の概要(主な目標や特徴を含む)を簡潔にまとめたものです。
CAF IGPテーブル
| CAF IGPにおける指標は | CAF IGPテーブルにおける指標はない | |
|---|---|---|
| 目的 | 専門的見解をサポートするためのもの | チェックリスト的な硬直した評価基準 |
| 範囲 | 評価者が通常考慮すべき重要な事項の具体例(場合により拡張が必要) | 評価者が考慮すべき全ての要素を網羅した文書 |
| 適用性 | 多様な企業での利用を想定(要検証) | 全企業で全く同様に適用されることが保証される |
CAFの利用
現時点でNIS規則の下、CAFには二つの目的があります:
- OESが法的要件を満たすために内部評価を行い、その結果や勧告をCAに報告する(「CAF評価結果」)。各リスクに応じてOESのセキュリティを評価する必要があり、実施した対策が脅威に対して必要かつ適切であることをIGPテーブルを用いて説明でき、特定の対策を実施しなかった理由も正当化できる。
- CAFの結果とOES改善のためのロードマップが、適切な当局により分析され、自己評価、CAFプロファイル、及び現地調査を通じ、OESが適切でバランスの取れたセキュリティ対策を講じているかを判断する。
結論
NIS指令により、OESは成果重視のCAFを用いて自らのセキュリティ評価を実施することが求められています。CAFのセキュリティは柔軟で、4つのセキュリティ目標、14の成果、39の評価項目で構成され、今後さらに使いやすくなる見込みです。
FAQ
最新情報を購読
