次の方法で共有

NIST CSF 2.0 ガバナンスを年次サイバーセキュリティ評価に統合する (Secure Future Initiative)

柱: すべて
パターン名: NIST CSF 2.0 ガバナンスを年次サイバーセキュリティ評価に統合する

「NIST CSF 2.0 ガバナンスを年次サイバーセキュリティ評価に統合する」は、ガバナンスに対する SFI のアプローチに沿っており、6 つのエンジニアリングの柱すべてに適用されます。

コンテキストと問題

現在、組織は、ハイブリッド チーム、多様なデバイス、進化する脅威ベクトルを備えた、ますます複雑な分散環境で活動しています。 主な課題は次のとおりです。

  • スコープとカバレッジの定義: 技術的および組織的な急速な変化により、サイバーセキュリティ プログラムの資産、プロセス、および担当者の識別が複雑になります。
  • 成熟度の測定: 標準化されたメトリックがない場合、コントロールの有効性とプログラムの成熟度を評価して実証する能力が妨げられます。
  • 成功の評価: 成功は侵害防止を超えて測定する必要があり、回復性、ユーザー エクスペリエンス、脅威の露出の減少を組み込む必要があります。
  • 脅威への適応: 敵対者は、特にソーシャル エンジニアリングや ID ベースの攻撃において、戦術を継続的に進化させます。
  • リソースの制約: 競合するビジネスの需要の中で、継続的な投資と優先順位付けが必要です。

これらの課題は、構造化、反復可能、ガバナンス主導のサイバーセキュリティ評価の必要性を強調しています。

解決策

NIST CSF 2.0 では、ガバナンス機能をコアの柱として導入し、サイバーセキュリティリスク管理におけるリーダーシップ、ポリシー、および監視の必要性を強調しています。 フレームワークには、 ガバナンス識別保護検出応答回復の 6 つの主要な機能が含まれるようになりました。

組織はこれらの機能を使用して、次のように年次評価を構成できます。

ガバナンス基盤を設定する1. リーダーシップと運用チーム全体のサイバーセキュリティに対する明確なガバナンス構造、役割、責任を確立する。
2. リスク管理活動を導くために、ポリシー、手順、および監視メカニズムを確実に実施する。
評価範囲を確立する3. 資産、アプリケーション、ユーザー セグメント、環境など、評価の範囲を定義します。
フレームワーク カテゴリにコントロールをマップする4. 既存のコントロールを、ID 管理、アクセス制御、インシデント対応などの関連する NIST CSF サブカテゴリに合わせます。
5. 特に先進認証と条件付きアクセスメカニズムのギャップを特定します。
成熟度を測定する6. フィッシングに強い MFA を持つユーザーの割合、包括的な条件付きアクセスカバレッジ、資格情報イベントへの応答速度など、各機能のメトリックを開発します。
7. 成熟度モデルまたはスコアリングを適用して、時間の経過に伴う進行状況を追跡します。
成熟度を測定する8. 資格情報ベースの攻撃の減少、MFA の疲労によるサポート需要の減少、オンボード プロセスの円滑化など、意味のあるインジケーターを監視します。
9. 組織の目標と業界標準に照らしてパフォーマンスをベンチマークする。
トレードオフと継続的な改善に対処する10. デバイス プロビジョニング、クロスプラットフォーム サポート、進化するユーザー エクスペリエンスの期待などの課題を認識します。
11. 必要に応じ、対象となるトレーニング、コミュニケーション、エンジニアリング ソリューションを実装します。
12. 評価結果を使用して、変化する脅威や規制の開発に対応して、ガバナンスの調整、投資の優先順位付け、コントロールの更新を行います。

Microsoft は、NIST CSF 2.0 に沿った年次自己評価を実施し、サイバーセキュリティの成熟度をベンチマークし、継続的な改善を推進しています。

  • スコープ: 組織単位とサービスは、リスクベースの取り込みプロセスを介して選択されます。 スコープは、ビジネスと脅威の状況の変化を反映するために毎年レビューされます。
  • 評価の構造: 標準化されたアンケートでは、6 つの CSF 関数 (ガバナンス、識別、保護、検出、応答、回復) の成熟度が評価されます。
  • 採点: NIST の実装レベルに基づいて、目標ベンチマークを有効にします。
  • 継続的な改善: Microsoft の手法は、客観性を高め、複雑さを軽減するために定期的に改良されています。 これにより、エンゲージメントと透明性が優先されます。
  • リスク管理の統合: 主要なリスクと機会は、優先順位付けとフォローアップのためにリスク レジスタに記録されます。

ガイダンス

組織は、次の実用的なプラクティスを使用して、同様のパターンを採用できます。

ユースケース 推奨されるアクション 資源
NIST CSF 2.0 評価の実施
  • 組織の優先順位に基づいてスコープを定義する
  • 実装例を使用してプロセスをベースライン化する
 NIST CSF 2.0 クイック スタート ガイド
サイバーセキュリティ リスクを ERM に統合する
  • 財務、運用、評判のリスクを使用してサイバー リスクを集計する
  • サイバー リスク マネージャーを割り当てる
  • エスカレーション基準を確立する
 NIST サイバーセキュリティ フレームワーク 2.0: Enterprise Risk Management Quick-Start ガイド
ベースライン既存のコントロール
  • コントロールを CSF 関数にマップする
  • 制御ベースラインに NIST SP 800-53 を使用する
  • 所有者を割り当ててギャップを修復する
 NIST SP 800-53 Rev. 5
重要な資産を保護する
  • ビジネスへの影響分析を実施する
  • 「クラウンジュエル」を特定する
  • RTO/RPO 目標の定義
  • テーブルトップ演習を使用してレジリエンスを検証する
ガバナンスの強化
  • ロールと責任を定義する
  • ポリシーを法的要件と規制要件に合わせて確認して調整する
 Microsoft で永続的なセキュリティ文化を構築する

メリット

  • より広範なコンプライアンスを実現するために、複数の標準 (ISO 27001、NIST SP 800-53) に準拠します。
  • 包括的なリスクベースのサイバーセキュリティ ライフサイクル管理を強化します。
  • サイバーセキュリティをエンタープライズ ガバナンスとリーダーシップ監視に埋め込みます。
  • 規制の準備と利害関係者の信頼を強化します。

Trade-offs

  • 脅威、インシデント、監査結果、その他のリスク管理プラクティスなどの他のメカニズムを置き換えることはありません。
  • CSF カテゴリへのコントロールの初期マッピングは、リソースを大量に消費する可能性があります。
  • 規範的でない性質では、不整合を回避するために強力なガバナンスが必要です。
  • ガバナンスの期待には、文化的な変化とリーダーシップのバイインが必要な場合があります。
  • 正式なコンプライアンス フレームワーク (FedRAMP、ISO など) は置き換えません。

主な成功要因

進行状況を測定するには、次の KPI を追跡します。

  • リスク受け入れポリシーの偏差の数
  • ポリシーに従ったインベントリ内の ICT 資産の割合
  • 管理の不備に関連するセキュリティ インシデントの割合
  • 主要なサードパーティ接続の準拠率

概要

NIST CSF 2.0 (特に新しい ガバナンス 機能) に沿った年次サイバーセキュリティ評価により、組織はセキュリティを企業のリスク管理に埋め込み、成熟度を実証し、継続的な改善を推進できます。

NIST CSF 2.0 を採用し、独自の環境に合わせて調整することで、組織はセキュリティ体制を強化し、規制上の期待に応え、利害関係者との信頼を築くことができます。

  • Last updated on