フレームワークは必要ですか?

顧客、規制当局、取締役会のメンバーからサイバーセキュリティをどのように管理しているかを尋ねられた場合、そのとおりです。フレームワークのリファレンスがあれば、その答えは信頼できるものになります。小規模組織の純粋な内部プログラムの場合、CIS Controls IG1 が最小限の答えです。ほとんどの組織は少なくとも 1 つを使用する必要があります。

SOC 2 は ISO 27001 と同じですか?

違う。 SOC 2 は米国ベースの認証スタイル (統制に関する監査人の意見) であり、米国の企業顧客によって要求されることがよくあります。 ISO 27001 は国際的な認証形式 (認証済み ISMS) であり、より厳格で規範的です。多くの企業は両方を行っています。 SOC 2 は、最初はより早く達成されます。 ISO 27001 はさらに多くの領域をカバーします。

最も実際的なセキュリティを提供するフレームワークはどれですか?

評判によると、CIS コントロール。コントロールは、影響、具体性、実行可能性に基づいて優先順位が付けられます。これらを順番に実装すると、目に見える改善が得られます。 NIST CSF はガバナンスにとってより有用です。運用にはCIS。

ISO 27001 認証にはどれくらい時間がかかりますか?

通常、開始から認定までに 9 ～ 18 か月かかります。ギャップ分析、管理の実施、内部監査、認証機関の監査 (ステージ 1 およびステージ 2)、および発見事項の修正が含まれます。小規模な組織はより速く動きます。複雑なものは遅くなります。

MITRE ATT&CK はサイバーセキュリティフレームワークですか?

技術的にはいいえ、これは攻撃者の手法の分類法であり、検出範囲の測定に使用されます。フレームワークと一緒に使用されることがよくあります。 CIS Controls と NIST CSF には、何をすべきかが記載されています。 ATT&CK は、攻撃者の行為を説明します。成熟したプログラムでは両方が使用されます。

サイバーセキュリティフレームワークの説明: NIST、ISO 27001、CIS コントロール、およびそれらが重要な理由

セキュリティを真剣に考えるすべての組織は、最終的に、NIST CSF、ISO 27001、CIS Controls、またはその他のフレームワークの 1 つを選択します。フレームワーク自体はセキュリティツールではありません。これらはセキュリティプログラムについての構造化された考え方です。どちらかを選択すること (そして、それが実際に何を提供するのかを理解すること) は、重要な戦略的決定です。

記事全文は以下に英語で記載されています。

Cサイバーセキュリティフレームワーク は、組織がセキュリティプログラムを構築および測定するために使用するプラクティス、制御、および評価基準の構造化されたコレクションです。それらだけで安全になるわけではありません。語彙、チェックリスト、ベンチマークを提供します。主要なフレームワークには、その起源、対象者、トレードオフが異なります。

主要なフレームワーク

NIST サイバーセキュリティフレームワーク (CSF) 2.0. 米国の自主フレームワーク。現在は 2.0 バージョン (2024 年) です。 6 つの機能を中心に構成されています: 統治、識別、保護、検出、対応、回復。業界や規模を問わず幅広く適用できるように設計されています。無料で広く採用されています。
ISO/IEC 27001. 情報セキュリティ管理システム (ISMS) の国際規格。外部監査により認証可能。自社のセキュリティ体制を第三者に認めてもらいたい組織のための国際標準。詳細;重大なコンプライアンスオーバーヘッド。
CIS コントロール v8. Center for Internet Security の優先順位付けされた 18 のコントロール。実用的かつ戦術的 - 実際に何をすべきか、影響度別にランク付けします。実装グループ (IG1、IG2、IG3) は、組織の成熟度に合わせて拡張されます。 AICPA の無料.XPLZ18X
SOC 2. Service Organization Control 2。セキュリティ、可用性、処理の完全性、機密性、プライバシーをカバーする信頼サービスの基準。多くの B2B SaaS ベンダーにとって必須。
HIPAA セキュリティルール。 米国医療固有。 PHI.
PCI-DSS. ペイメントカード業界データセキュリティ標準を扱う医療機関に対して法律で義務付けられています。カードデータを扱う組織に必要です。非常に規範的です。
NIST SP 800-53 / 800-171. 米国連邦機関および連邦請負業者によって使用される詳細な管理カタログ。最も粒度が細かい — ファミリごとに整理された数百の具体的なコントロール。
FedRAMP、CMMC. クラウドサービスと防衛請負業者それぞれのための米国連邦固有のフレームワーク。
MITRE ATT&CK. フレームワーク自体ではなく、敵対者の戦術の分類。カバレッジを測定するために検出エンジニアリングチームによって使用されます。

それぞれの違い

カテゴリは重複していますが、異なる点を強調しています:

規範的と柔軟。 PCI-DSS は、正確な制御 (特定のアルゴリズムでカード所有者データを暗号化する) を指定します。 NIST CSF は成果 (「保護: ID 管理とアクセス制御」) を説明し、組織がその成果を達成する方法を選択できるようにします。 NIST CSF は自己評価であり、証明書はありません。
無料と有料。 NIST と CIS は無料です。 ISO 27001 および SOC 2 には多額の費用がかかります (監査費用、認証費用)。
S セクター固有と一般。 HIPAA、PCI-DSS は特定の業界に適用されます。 NIST CSF、ISO 27001 は汎用です。
リスクベースとコントロールベース。 ISO 27001 はリスク評価から始まります。 CIS コントロールでは、リスクプロファイルに関係なく実装するための優先順位付きリストが提供されます。

NIST CSF 2.0 機能

ヘッドラインフレームワーク — 米国の影響を受けたほとんどのセキュリティプログラムが参照として使用するもの:

Govern. サイバーセキュリティ戦略、ポリシー、監視を確立および監視します。 2.0で追加されました。リーダーシップとリスク管理を明示的な範囲に引き込みます。
Identify. 資産管理、ビジネス環境、ガバナンス、リスク評価。
Protect. ID 管理、アクセスコントロール、データセキュリティ、意識向上トレーニング、メンテナンス。
Detect.異常、継続的監視、検出プロセス。
応答。 対応計画、コミュニケーション、分析、緩和。
回復。 復旧計画、改善、コミュニケーション。

各機能にはカテゴリとサブカテゴリがあり、合計で数百の特定の結果があります。組織は、結果ごとに現在の状態と目標の状態を評価します。

CIS コントロール 18

CIS アプローチは、より実用的です:

企業資産のインベントリと管理
ソフトウェア資産のインベントリと管理
データ保護
企業資産とソフトウェアの安全な構成
アカウント管理
アクセス制御管理
継続的な脆弱性管理
監査ログ管理
電子メールとWebブラウザの保護
マルウェア防御
データ回復
ネットワークインフラストラクチャ管理
ネットワーク監視と防御
セキュリティ意識とスキルトレーニング
サービスプロバイダー管理
アプリケーションソフトウェアセキュリティ
インシデント対応管理
ペネトレーションテスト

実装グループは、コントロール:

IG1 — 最低限必要なサイバー衛生。 ~56 の安全策。小規模組織向け。
IG2 — 機密データを扱う組織向けの追加の制御。 ~131 の安全対策。
IG3 — すべてのコントロール。 ~153 の安全装置。高度な脅威に直面している組織向け。

どれを選択するか

実際的な答えは状況によって異なります。

特定のコンプライアンス圧力がない中小企業: CIS Controls IG1。具体的、無料、達成可能。
B2B 顧客を持つ米国の中規模企業: 内部プログラムには NIST CSF、顧客対応の信頼には SOC 2。
国際企業または大企業: ISO 27001 認証可能信頼性.
US 連邦請負業者: 契約で必要なものは何でも — 多くの場合、国防総省業務用の NIST 800-171 または CMMC。
ヘルスケア: HIPAA セキュリティルールは必須です。 NIST CSF または CIS による補足。
支払い処理: PCI-DSS は必須です。

ほとんどの成熟した組織は、最終的に複数のフレームワークを使用することになります。1 つは内部プログラム構造用、もう 1 つは顧客対応の認証用、階層化されたセクター固有の要件です。

フレームワークでできないこと

フレームワークではセキュリティが確保されません。コントロールが適切に実装されていないフレームワーク準拠のプログラムは、コントロールが適切に実装されているアドホックプログラムと同じです。フレームワークは構造を提供します。

典型的な失敗: 組織は、実際のセキュリティ運用が萎縮する一方で、監査に合格するために精緻な文書を作成します。フレームワークは、実際の作業を整理するときに役立ちます。代用すると痛い。

よくある質問

フレームワークは必要ですか?: 顧客、規制当局、取締役会のメンバーからサイバーセキュリティをどのように管理しているかを尋ねられた場合、そのとおりです。フレームワークのリファレンスがあれば、その答えは信頼できるものになります。小規模組織の純粋な内部プログラムの場合、CIS Controls IG1 が最小限の答えです。ほとんどの組織は少なくとも 1 つを使用する必要があります。
SOC 2 は ISO 27001 と同じですか?: 違う。 SOC 2 は米国ベースの認証スタイル (統制に関する監査人の意見) であり、米国の企業顧客によって要求されることがよくあります。 ISO 27001 は国際的な認証形式 (認証済み ISMS) であり、より厳格で規範的です。多くの企業は両方を行っています。 SOC 2 は、最初はより早く達成されます。 ISO 27001 はさらに多くの領域をカバーします。
最も実際的なセキュリティを提供するフレームワークはどれですか?: 評判によると、CIS コントロール。コントロールは、影響、具体性、実行可能性に基づいて優先順位が付けられます。これらを順番に実装すると、目に見える改善が得られます。 NIST CSF はガバナンスにとってより有用です。運用にはCIS。
ISO 27001 認証にはどれくらい時間がかかりますか?: 通常、開始から認定までに 9 ～ 18 か月かかります。ギャップ分析、管理の実施、内部監査、認証機関の監査 (ステージ 1 およびステージ 2)、および発見事項の修正が含まれます。小規模な組織はより速く動きます。複雑なものは遅くなります。
MITRE ATT&CK はサイバーセキュリティフレームワークですか?: 技術的にはいいえ、これは攻撃者の手法の分類法であり、検出範囲の測定に使用されます。フレームワークと一緒に使用されることがよくあります。 CIS Controls と NIST CSF には、何をすべきかが記載されています。 ATT&CK は、攻撃者の行為を説明します。成熟したプログラムでは両方が使用されます。