2025年に入ってからもセキュリティ事故は後を絶ちません。そんな状況の中、様々なソリューション導入や体制強化を検討されている担当者様も多いかと思います。
組織がセキュリティ対策を効率的・効果的に実行する上での一つの手段として、「セキュリティフレームワーク」の活用が挙げられます。
とはいえ、そもそもセキュリティフレームワークにはどのような種類があり、どのような基準で選択・採用し、自組織で活用するべきなのかについて、頭を悩ませるセキュリティ担当者は多いのでないでしょうか。
本記事では、セキュリティフレームワークの概要や分類、利用ポイントなどを解説いたします。
・セキュリティフレームワークごとの違いや自組織にフィットするものを知りたい
・今後のセキュリティレベル向上に向けて、フレームワークをうまく活用していきたい
・セキュリティフレームワークを現在活用しているが、活用しきれていない
こういった課題をもつ担当者様が、セキュリティフレームワーク活用の一歩を踏み出すための参考情報として、ご一読いただけると嬉しいです。
セキュリティフレームワークとは
セキュリティフレームワークとは、企業のセキュリティ確保に有益なコンテンツ
セキュリティフレームワークは、企業や組織が情報セキュリティもしくはサイバーセキュリティを確保するために利用できる体系的なコンテンツのことです。コンテンツの体系には、指針・基準・ガイドライン・ベストプラクティスなど様々な種類・呼称が存在します。
フレームワークの定義(NRIセキュアが作成)
セキュリティフレームワークの利用は、質の高いセキュリティ対策の効率的な実践につながる
セキュリティフレームワークを利用することで、質の高いセキュリティ対策を効率的に実装しやすくなります。
また、国内・海外のセキュリティ専門家が、最新の脅威や技術動向を踏まえて、定期的にコンテンツを更新されるため、セキュリティフレームワークをうまく取り入れることでセキュリティ対策の最新トレンドを認識・反映することが可能です。
フレームワーク利用の価値(NRIセキュアが作成)
実際に直近1年間で、多くの改定発表がありました。
日米のフレームワーク改定例(NRIセキュアが作成)
中でも、米国時間の2024年2月26日に発表されたNIST Cybersecurity framework(以降、NIST CSFと呼ぶ)の改定については、皆さん一度は目にしたのではないでしょうか。
NIST CSFの歴史的過程(NRIセキュアが作成)
2018年のVer1.1から、久しぶりに大幅改定された背景としては、3つの変化を推察します。
変化①:技術革新に伴うビジネス連携の広範化(つながるビジネス)
近年のDX推進や生成AIなど新技術の普及が進むなかで、新技術の活用や自社が所有していない技術を提供する事業者との連携など、企業間のコネクション・コラボレーションは多様化しています。これまでは自社・グループ会社・委託先が中心でしたが、現在はそこに付随して自社サービスに関連したサプライチェーン全体で連携していく世の中となっているため、セキュリティ対策範囲も広範化してきています。
変化②:セキュリティ脅威の高度化(高まるリスク)
ビジネス環境が多様化する中で、サイバー攻撃の手法はばらまき型だったのに対し、現在は標的型が増えてきており、その標的は自組織から委託先やサードパーティなどの別法人に広がるなど、セキュリティ脅威が高度化しています。
変化③:セキュリティ関連の法制度の拡充(厳格になるルール)
米国を中心に、組織のセキュリティガバナンスの強化に関する法制度や指針の整備・拡充が進んでいます。日本でも、経済安全保障推進法の施行やガイドラインの改定に加え、格付け制度の企画検討がなされています。
NIST CSFへのグローバル全体の注目度は、2014年のVer1.0公表以降に年々高まっており、サイバーセキュリティフレームワークにおけるデファクトスタンダートと考えることができます。
「NIST Cybersecurity Framework」の検索数と分析(NRIセキュアが作成)
▼参考記事
Secure SketCH設問がカバーしているフレームワーク
セキュリティフレームワークにはさまざまな種類があるが、幾つかの軸で分類可能
各フレームワークは、対象分野や想定リスクなどが異なるため個性・強みがあり、いくつかの軸で分類が可能です。
いくつかの軸で分類した主要なセキュリティフレームワーク(NRIセキュアが作成)
上記の分類軸から判断するだけでなく、セキュリティフレームワークを比較軸で捉え、自組織の課題に対応したものを選択することが重要となります。
セキュリティ範囲と抽象度で比較した各フレームワークの位置づけ(NRIセキュアが作成)
セキュリティフレームワークの活用
次にセキュリティフレームワークを実際にどのように活用すべきか整理しますと、大きく以下3点がポイントになると考えます。
セキュリティフレームワークの活用ポイント
ポイント1. 複数のセキュリティフレームワークを組み合わせる
企業が新しいテクノロジーを用いたシステムを導入する際、多様なセキュリティリスクと向き合う必要があります。各フレームワークの軸や想定リスクが異なるため、複数のセキュリティフレームワークを組み合わせることで、よりセキュアな環境構築に繋がります。
生成AIを用いたチャットボットを使用した場合の想定リスクと該当フレームワーク例(NRIセキュアが作成)
ポイント2. セキュリティフレームワークの更新内容を把握し、適宜対応・適応する
各フレームワークは最新の脅威や技術動向を踏まえて更新され続けています。セキュリティフレームワークの更新内容から新しい対策トレンドの把握をすることで、自社のセキュリティ対策の陳腐化を防ぐことが重要です。
ISO/IEC27002の2022年改定時 更新内容(NRIセキュアが作成)
ポイント3. 利用して終わりではなく、PDCAを回しながら強化・改善する
セキュリティフレームワークは、実装・準拠したら終わりではなく、企業のセキュリティ状態をモニタリングし、継続的に自組織のセキュリティを強化・改善していく活動が重要です。
セキュリティフレームワークに継続的に準拠していくにあたり、自組織のセキュリティ状況を見直すタイミングを3つご紹介します。
自組織のセキュリティ状況を見直す3つのタイミング(NRIセキュアが作成)
①セキュリティフレームワークの更新時
脅威や技術の変化に応じて更新されたフレームワークを確認することで自組織のセキュリティ対策を見直すきっかけとなります。
②新年度、新中期経営計画、レポートラインの変更時
新年度や新しい中期経営計画の開始時や体制が変わるタイミングは自組織のセキュリティ対策を見直すきっかけとなります。
③同業他社のセキュリティ事故発生時
同業他社で発生したセキュリティ事故は、自組織で同様の脅威に晒された場合はどんな影響を受けていたかを想定・検証することで、セキュリティ対策の抜け漏れや対策の陳腐化・形骸化に気付くきっかけとなります。
セキュリティ担当者が困る【言うは易く行うは難し】
セキュリティフレームワークの活用ポイントで記載したように複数のフレームワークを組み合わせ、都度更新内容を把握し、PDCAを回しながらセキュリティ強化・改善をすることは実際どのセキュリティ担当者も理想ではありますが、現実は理想との乖離に悩んでいるセキュリティ担当者は多いのではないでしょうか。
実際に企業における情報セキュリティ実態調査(NRI Secure Insight2023)をNRIセキュアテクノロジーズ独自で行った結果、自社のセキュリティ対策の遅れに悩んでいる企業が多いことが分かりました。
企業規模別セキュリティ対応に困っているランキングと困りごとの背景(NRIセキュアが作成)
さらにフレームワーク実用化に向けてセキュリティ担当者の悩みが大きく3つあります。
セキュリティフレームワークの利用ポイントに関わるセキュリティ担当者の本音(NRIセキュアが作成)
本音①:複数のフレームワークや各コンテンツの改定情報のキャッチアップが面倒
様々な軸のセキュリティフレームワークから自組織にあったものを組み合わせて準拠することが必要、かつそれぞれのフレームワークがいつどの箇所を改定したのかを都度把握することが大変であり、準拠を阻んでいる実態があります。
本音②:多言語での理解に時間がかかる
各フレームワークは発行国が日本だけでなく、海外のものも多く存在します。
海外のセキュリティフレームワークに準拠する際、言語を読み解くステップが必要となりますが、逆に日本発行のフレームワーク(ISOやサイバーセキュリティ経営ガイドラインなど)を海外拠点のセキュリティ担当者に理解してもらうためには、同様に言語理解のステップが必要となります。フレームワークに準拠する前に、その内容理解をする工数が手間になっている企業も少なくありません。
本音③:アップデートする度に準拠状況の確認するのが大変
最新の脅威や技術動向にあわせてアップデートしていくフレームワークに自社のセキュリティ対策状況に当てはめていかなければ対策が陳腐化してしまいます。更新内容への準拠状況をそれぞれのフレームワーク毎に確認することの工数の多さが、フレームワーク準拠に対するハードルを上げている要因の一つです。
セキュリティアセスメントツール「Secure SketCH」の取り込み
Secure SketCHとは
NRIセキュアが提供しているサービス「Secure SketCH」は、約80問のセキュリティに関する設問に回答するだけで、複数ガイドラインを踏まえた企業・組織の評価を1,000点満点中の得点や偏差値で可視化できるプラットフォーム型のSaaSサービスです。企業のセキュリティレベルの底上げをサポートします。
現在、約7000社に利用いただいており、様々な業種・業界、またグローバルなセキュリティフレームワークの対応実績から、グローバル98ヵ国で利用いただいております。
2024年度1Q時点のSecure SketCH利用実績(NRIセキュアが作成)
セキュリティアセスメントの標準化・仕組み化をSecure SketCHが支援
Secure SketCHの設問に回答するだけで自社のセキュリティ状況を把握できるだけでなくアセスメント結果を踏まえて、やるべき事項も確認できるため、対策を適切かつ効率的に進めることが可能です。
Secure SketCHを利用する3つのメリット(NRIセキュアが作成)
▼参考資料
Secure SketCHヘルプセンター:標準設問・ベストプラクティス改定情報
セキュリティ担当者の対策実行をSecure SketCHが支援
セキュリティ担当者が課題に感じてきた本音をSecure SketCHが包括的にサポートします。
本音①:複数のフレームワークや各コンテンツの改定情報のキャッチアップが面倒
⇔ポイント①:複数のセキュリティフレームワークを取り込んだ標準設問の用意
Secure SketCHの設問は、現在国内外6つのフレームワークを踏まえて策定されています。つまり「Secure SketCHの設問は主要なフレームワークの良いところ取り」をした構成になっており、本設問をベースに対策を進めることで各フレームワークの要求事項への準拠が実現します。
Secure SketCH設問がカバーしているフレームワーク(NRIセキュアが作成)
本音②:多言語での理解に時間がかかる⇔ポイント②:日本語・英語・中国語に対応
グローバルなフレームワークも日本語対応しているので、フレームワークの翻訳自体の手間も省けます。また、ユーザは画面上で、自分の利用したい言語に切り替えできるため、海外法人や海外グループ会社も含めた利用をする場合の、セキュリティ管理者の翻訳負荷やコミュニケーションにかかる負荷を削減します。
本音③:アップデートする度に準拠状況の確認するのが大変
⇔ポイント③:各種フレームワークの要求項目との自動マッピング
先述の通り、Secure SketCHの設問には現在国内外6つのフレームワークを踏まえて策定されています。そのため、Secure SketCHの用意する設問(約80問)の回答データから、自動で各フレームワークの準拠状況や要求項目ごとの順守状況が一覧表示します。
そのため、フレームワークのアップデート都度に見直しや再回答せずに、準拠状況がパッと分かります。
さいごに ~セキュリティフレームワーク利用の要諦~
本記事であげた3つのポイントを踏まえて、企業がセキュリティフレームワークをうまく活用することで、最新の脅威に対応できる質の高いセキュリティ運用を効率的に取り込むことが可能です。
- ポイント1:複数のセキュリティフレームワークを組み合わせる
- ポイント2:フレームワークの更新内容を把握し、適宜対応・適応する
- ポイント3:利用して終わりではなく、PDCAを回しながら強化・改善する
Secure SketCHはセキュリティ対策のコンテンツ体系である幅広いフレームワークに対応すべく、今後も取り込むフレームワークの数を継続的に増やしていきます。
セキュリティフレームワークの効率的な活用、Secure SketCHにご興味がある方はぜひこちらからお問い合わせください。
また、すぐにでも使ってみたいという方向けに2週間の無料トライアルもご用意しておりますので、ぜひお気軽にお試しください!