Cybersecurity-Frameworkを 用 いた 対 策 案 合 意 形 成 手 法 の 提 案 東 京 電 機 大 学 情 報 セキュリティ 研 究 室 福 島 章 太
目 次 2 背 景 課 題 提 案 実 装 今 後 の 方 針 まとめ
目 次 3 背 景 課 題 提 案 実 装 今 後 の 方 針 まとめ
背 景 4 現 状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利 用 例 本 研 究 の 目 的 について
背 景 5 現 状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利 用 例 本 研 究 の 目 的 について
現 状 (1/2) 6 経 営 陣 と 管 理 者 層 のセキュリティ 管 理 に 対 する 共 通 認 識 が 乏 しい 1セキュリティの 技 術 的 な 説 明 セキュリティは 技 術 問 題 2セキュリティ 管 理 の 委 任 経 営 陣 管 理 者 層 係 長 セキュリティから 社 長 セキュリティへ: 日 本 的 経 営 と 情 報 セキュリティ, 2010 年, 林 紘 一 郎 情 報 セキュリティ 総 合 科 学 第 2 号 収 録
現 状 (2/2) 7 アプローチの 一 つ Cybersecurity-Framework 重 要 インフラのサイバーセキュリティを 向 上 させるためのフレームワーク 1.0 版, 2014 年, 米 国 国 立 標 準 技 術 研 究 所 (NIST)
背 景 8 現 状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利 用 例 本 研 究 の 目 的 について
Cybersecurity-Frameworkについて(1/6) 9 Cybersecurity-Frameworkとは 2014 年 に 米 国 国 立 標 準 技 術 研 究 所 (NIST)が 公 表 セキュリティリスク 管 理 原 則 を 企 業 が 適 用 できるようにする セキュリティのリスクを 把 握 管 理 表 現 することを 補 助 する 3つの 要 素 から 成 り 立 つ フレームワークコア フレームワークインプレメンテーションティア フレームワークプロファイル
Cybersecurity-Frameworkについて(2/6) 10 フレームワークコアとは セキュリティリスクを 管 理 する 上 で 役 に 立 つ 主 な 成 果 一 覧 機 能 カテゴリー サブカテゴリー 参 考 情 報 からなる
Cybersecurity-Frameworkについて(3/6) 11 フレームワークインプレメンテーションティアとは 企 業 がセキュリティのリスクをどのように 捉 えているか リスク 管 理 にどのようなプロセスを 実 施 しているかの 段 階 ティア1~ティア4まで 段 階 がある ティア1: 部 分 的 である ティア2: リスク 情 報 を 活 用 している ティア3: 繰 り 返 し 適 用 可 能 である ティア4: 適 応 している
Cybersecurity-Frameworkについて(4/6) 12 フレームワークプロファイルとは 企 業 の 要 件 に 基 づいて 調 整 されたフレームワークコア 企 業 がフレームワークコアから 必 要 なカテゴリーを 選 択 し それに 基 いて 現 状 や 目 標 を 記 述 する サイバーセキュリティの 現 状 と 目 標 を 比 較 する 為 に 使 用 可 能
Cybersecurity-Frameworkについて(5/6) 13 まとめ フレームワークコア (コア) 対 策 をすることで 効 果 が 得 られることが 認 められた 分 野 一 覧 フレームワークインプレメンテーションティア (ティア) リスク 管 理 の 認 識 やプロセスを4 段 階 で 示 したもの フレームワークプロファイル (プロファイル) 企 業 がコアから 必 要 なカテゴリーを 抜 粋 し 評 価 したもの
Cybersecurity-Frameworkについて(6/6) 14 経 営 陣 と 管 理 者 層 のリスクコミュニケーションに 有 効 1 評 価 したプロファイルで 現 状 のセキュリティを 説 明 2リスクコミュニケーション 経 営 陣 管 理 者 層 どの 規 模 の 企 業 にもそのまま 適 用 可 能 ではない 各 企 業 で 部 分 的 に 独 自 のカスタマイズが 必 要
背 景 15 現 状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利 用 例 本 研 究 の 目 的 について
IntelのCybersecurity-Framework 利 用 例 (1/4) 16 Pilot Projectについて 米 Intel 社 は Pilot Project としてフレームワークを 試 用 した 4つのフェーズで7ヶ 月 間 行 動 1. ティアの 目 標 設 定 2. 現 状 評 価 3. 結 果 を 分 析 4. 結 果 を 協 議 The Cybersecurity Framework in Action: An Intel Use Case, 2015 年,Intel Corporation
IntelのCybersecurity-Framework 利 用 例 (2/4) 17 プロジェクトの 全 体 的 な 方 針 について コアのサブカテゴリーは 簡 略 化 のため 利 用 しない 方 針 にした 代 わりにカテゴリーを 独 自 に 充 実 させた ティアについて ティア 毎 に 独 自 の 定 義 を 設 け 評 価 の 指 標 とした
IntelのCybersecurity-Framework 利 用 例 (3/4) 18 評 価 結 果 について 各 担 当 者 の 現 状 評 価 とティアの 目 標 値 を 比 較 した カテゴリー 各 担 当 者 の 評 価 目 標 値
IntelのCybersecurity-Framework 利 用 例 (4/4) 19 まとめ CISOやCISO 補 佐 等 のセキュリティ 専 門 家 が カテゴリー 毎 に 目 標 ティアを 設 定 各 分 野 の 担 当 者 がカテゴリー 毎 に 現 状 のティアを 入 力 目 標 と 現 状 を 比 較 し 意 思 決 定 者 とコミュニケーション
背 景 20 現 状 Cybersecurity-Frameworkについて IntelのCybersecurity-Framework 利 用 例 本 研 究 の 目 的 について
本 研 究 の 目 的 について(1/4) 21 Cybersecurity-Frameworkの 課 題 組 織 の 要 件 を 満 たすためには 目 標 に 至 るための 対 策 が 必 要 フレームワークは 現 状 と 目 標 の 差 異 を 分 析 するためのもの 対 策 案 を 列 挙 選 定 するという 部 分 まで 至 っていない
本 研 究 の 目 的 について(2/4) 22 経 営 陣 管 理 者 層 の 利 用 イメージ 2 現 状 把 握 1 現 状 入 力 DB 経 営 陣,CISO Cybersecurity-Framework 適 用 範 囲 管 理 者 層 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙
本 研 究 の 目 的 について(3/4) 23 本 研 究 の 目 的 現 状 のティアが 目 標 に 到 達 するための 対 策 を 列 挙 し 選 定 する 手 法 が 必 要 Intelの 利 用 例 を 基 に 対 策 列 挙 手 法 を 提 案
本 研 究 の 目 的 について(4/4) 24 本 研 究 の 目 的 2 現 状 把 握 1 現 状 入 力 DB 経 営 陣,CISO Cybersecurity-Framework 適 用 範 囲 管 理 者 層 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙
目 次 25 背 景 課 題 提 案 実 装 今 後 の 方 針 まとめ
課 題 (1/2) 26 現 状 把 握 イメージ 管 理 者 1 管 理 者 2 管 理 者 3 管 理 者 4 目 標 値 カテゴリー 1 1 2 2 2 2 カテゴリー 2 2 3 1 2 3 カテゴリー 3 1 2 1 3 3 カテゴリー 4 4 3 3 4 4 カテゴリー 5 3 4 3 4 4
課 題 (2/2) 27 一 般 的 に 対 策 の 効 果 は 定 量 的 定 性 的 に 表 される 対 策 列 挙 をする 際 の 課 題 従 来 の 様 に 対 策 の 効 果 を 数 値 とすると 問 題 が 発 生 する 対 策 1と2を 実 行 しただけでティアの 定 義 を 満 たすとは 限 らない 対 策 一 覧 ティア 定 義 一 覧 対 策 名 対 策 1 外 部 講 師 に よる 教 育 対 策 2 リスク 情 報 で 対 策 会 議 上 昇 ティア 0.7 0.5 ティア2 ティア3 ティア4 定 義 2-1 教 育 の 実 施 定 義 2-2 リスク 情 報 で 対 策 を 決 定 定 義 3-1 試 験 による 能 力 把 握 定 義 3-2 リスク 情 報 か ら 対 策 を 改 善 定 義 4-1 方 針 に 応 じ た 教 育 改 善 定 義 4-2 リスク 情 報 か ら 兆 候 察 知
目 次 28 背 景 課 題 提 案 実 装 今 後 の 方 針 まとめ
提 案 (1/3) 29 対 策 の 効 果 を ティア 定 義 の 不 足 部 分 を 補 う 形 とする 例 : 対 策 一 覧 対 策 名 対 策 1 外 部 講 師 に よる 教 育 対 策 2 リスク 情 報 で 対 策 会 議 ティア 定 義 一 覧 ティア2 ティア3 ティア4 定 義 2-1 教 育 の 実 施 定 義 2-2 リスク 情 報 で 対 策 を 決 定 定 義 3-1 試 験 による 能 力 把 握 定 義 3-2 リスク 情 報 か ら 対 策 を 改 善 定 義 4-1 方 針 に 応 じ た 教 育 改 善 定 義 4-2 リスク 情 報 か ら 兆 候 察 知
提 案 (2/3) 30 満 たしたティア 定 義 に 応 じてティアを 算 出 対 策 後 の 状 況 とティアの 値 に 矛 盾 が 無 くなる ティア 定 義 一 覧 ティア2 ティア3 ティア4 定 義 2-1 教 育 の 実 施 定 義 2-2 リスク 情 報 で 優 先 順 位 付 け 定 義 3-1 試 験 による 能 力 把 握 定 義 3-2 リスク 情 報 から 対 策 を 改 善 定 義 4-1 方 針 に 応 じた 教 育 改 善 定 義 4-2 リスク 情 報 から 兆 候 察 知
提 案 (3/3) 31 経 営 陣 管 理 者 層 の 利 用 イメージ 2 現 状 把 握 1 現 状 入 力 DB 経 営 陣,CISO Cybersecurity-Framework 適 用 範 囲 管 理 者 層 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙
目 次 32 背 景 課 題 提 案 実 装 今 後 の 方 針 まとめ
実 装 (1/11) 33 経 営 陣 管 理 者 層 の 利 用 イメージ 2 現 状 把 握 1 現 状 入 力 DB 経 営 陣,CISO 1234を 行 える ツールや 機 能 を 実 装 Cybersecurity-Framework 適 用 範 囲 管 理 者 層 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙
実 装 (2/11) 34 開 発 ツール 機 能 一 覧 1 現 状 入 力 ツール 2 現 状 把 握 ツール 3 対 策 必 要 範 囲 把 握 機 能 4 対 策 列 挙 機 能 経 営 陣,CISO 2 現 状 把 握 DB 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙 1 現 状 入 力 管 理 者 層
実 装 (3/11) 現 状 入 力 イメージ 経 営 陣,CISO 2 現 状 把 握 DB 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙 1 現 状 入 力 管 理 者 層 35 管 理 者 評 価 対 象 (カテゴリー 一 覧 ) カテゴリー 名 カテゴリー1 カテゴリー2 カテゴリー3 評 価 項 目 (ティア 定 義 一 覧 ) ティア2 ティア3 ティア4 定 義 2-1 定 義 3-1 定 義 4-1 定 義 2-2 定 義 3-2 定 義 4-2 定 義 2-3 定 義 3-3 定 義 4-3
実 装 (4/11) 36 管 理 者 に 対 する 現 状 入 力 ツール カテゴリー 毎 に 達 成 しているティア 定 義 を 選 択 可 能 満 たしているティア 定 義 から 現 状 のティアを 算 出 ティア 定 義 に 厳 密 な 現 状 評 価 が 可 能 となった
実 装 (5/11) 現 状 把 握 イメージ 経 営 陣,CISO 2 現 状 把 握 DB 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙 1 現 状 入 力 管 理 者 層 37 管 理 者 1 管 理 者 2 管 理 者 3 管 理 者 4 目 標 値 カテゴリー 1 1 2 2 2 2 カテゴリー 2 2 3 1 2 3 カテゴリー 3 1 2 1 3 3
実 装 (6/11) 38 現 状 把 握 ツール 管 理 者 毎 にどのティアに 至 っているか 閲 覧 可 能 管 理 者 と 経 営 陣 の 認 識 の 差 異 を 比 較 することも 可 能 経 営 陣 に 対 してティアの 数 値 による 現 状 報 告 が 可 能 となった
実 装 (7/11) 対 策 必 要 範 囲 把 握 イメージ 経 営 陣,CISO 2 現 状 把 握 DB 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙 1 現 状 入 力 管 理 者 層 39 管 理 者 カテゴリー 名 カテゴリー1 カテゴリー2 カテゴリー3 目 標 ティア ティア2 ティア3 ティア4 定 義 2-1 定 義 3-1 定 義 4-1 定 義 2-2 定 義 3-2 定 義 4-2 定 義 2-3 定 義 3-3 定 義 4-3 対 策 必 要 範 囲
実 装 (8/11) 40 対 策 必 要 範 囲 把 握 機 能 : 現 状 満 たしているティア 定 義 : 満 たす 必 要 があるティア 定 義 ( 対 策 が 必 要 な 部 分 ) -: 満 たす 必 要 がないティア 定 義
実 装 (9/11) 対 策 列 挙 イメージ 経 営 陣,CISO 2 現 状 把 握 DB 3 対 策 必 要 範 囲 把 握 4 対 策 列 挙 1 現 状 入 力 管 理 者 層 41 管 理 者 対 策 一 覧 対 策 名 対 策 1 対 策 2 カテゴリー 名 カテゴリー1 カテゴリー2 カテゴリー3 目 標 ティア ティア2 ティア3 ティア4 定 義 2-1 定 義 3-1 定 義 4-1 定 義 2-2 定 義 3-2 定 義 4-2 定 義 2-3 定 義 3-3 定 義 4-3
実 装 (10/11) 42 対 策 列 挙 機 能 対 策 が 影 響 する 管 理 者 カテゴリー ティア 定 義 を 選 択 可 能 定 義 に 厳 密 な 対 策 を 列 挙 することが 可 能 となった
実 装 (11/11) 43 提 案 実 装 の 利 点 フレームワークの 目 標 と 現 状 の 差 分 を 取 るという 点 に 加 え 目 標 に 至 る 為 に 対 策 が 必 要 な 範 囲 が 分 かるようになった 目 標 に 至 るための 具 体 的 な 対 策 を 列 挙 出 来 るようになった
目 次 44 背 景 課 題 提 案 実 装 今 後 の 方 針 まとめ
今 後 の 方 針 45 提 案 の 実 用 性 を 検 証 対 策 選 定 を 補 助 する 機 能 作 成 各 対 策 の 効 果 を 明 示 する 機 能 対 策 後 のティアを 表 示 する 機 能 対 策 案 の 最 適 化 機 能 利 便 性 の 充 足 カテゴリー 編 集 機 能 GUIの 調 整 プログラムの 最 適 化
目 次 46 背 景 課 題 提 案 実 装 今 後 の 方 針 まとめ
まとめ 47 経 営 陣 と 管 理 者 層 のセキュリティリスクに 対 する コミュニケーションが 上 手 くいっていない NISTのCybersecurity-Frameworkというアプローチがある フレームワークは 対 策 について 講 じられていない Intelの 例 から 経 営 陣 との 合 意 を 図 れる 対 策 列 挙 手 法 を 提 案 対 策 列 挙 手 法 を 利 用 出 来 るようにツールを 実 装 提 案 実 装 により 目 標 に 至 るための 対 策 列 挙 が 可 能 に 今 後 は 提 案 手 法 の 実 用 性 を 検 証 する
試 適 用 のプロセス 案 東 京 電 機 大 学 情 報 セキュリティ 研 究 室 福 島 章 太
研 究 概 要 49 各 管 理 者 カテゴリー 毎 のティアを 目 標 値 にするための 対 策 を 列 挙 する 手 法 を 提 案 管 理 者 1 管 理 者 2 管 理 者 3 管 理 者 4 目 標 値 カテゴリー 1 1 2 2 2 2 2 カテゴリー 2 2 3 1 2 3 カテゴリー 3 1 2 1 3 3
試 適 用 の 目 的 50 研 究 室 内 の 情 報 管 理 体 制 に 不 備 はないか 提 案 手 法 である 対 策 列 挙 手 法 は 実 行 可 能 か 列 挙 した 対 策 を 実 行 することでティアは 上 昇 するか (or ティアの 定 義 が 部 分 的 にでも 満 たされるか)
プロセス 案 51 提 案 手 法 のプロセス
プロセス 案 52 試 適 用 の 役 割 分 担 案 経 営 陣 : 佐 々 木 先 生 ( 結 果 閲 覧 と 対 策 指 示 ) CISO: 福 島 ( 試 適 用 の 進 行 役 ) 管 理 者 層 : 研 究 室 内 の 各 係 のリーダー ( 主 に 外 部 に 漏 れてはいけない 情 報 を 持 つ 係 )
プロセス 案 53 プロセス 案 の 概 念 図 要 件 と 目 標 の 決 定 現 状 の 調 査 現 状 と 目 標 の 比 較 対 策 の 協 議 対 策 の 実 施 対 策 の 評 価 現 在
まとめ 54 経 営 陣 と 管 理 者 層 のセキュリティリスクに 対 する コミュニケーションが 上 手 くいっていない NISTのCybersecurity-Frameworkというアプローチがある フレームワークは 対 策 について 講 じられていない Intelの 例 から 経 営 陣 との 合 意 を 図 れる 対 策 列 挙 手 法 を 提 案 対 策 列 挙 手 法 を 利 用 出 来 るようにツールを 実 装 提 案 実 装 により 目 標 に 至 るための 対 策 列 挙 が 可 能 に 今 後 は 提 案 手 法 の 実 用 性 を 検 証 する