堅牢なサイバーセキュリティプログラムの管理と実装は非常に複雑なプロセスです。サイバーセキュリティフレームワークは、標準化されたプロセス主導のアプローチで組織がこの課題に取り組むのに役立ちます。企業にとって、サイバーセキュリティフレームワークは、サイバーセキュリティプログラムのあらゆる側面を管理するための青写真として機能します。
サイバーセキュリティフレームワークには、戦略と実装ガイドラインに加え、防御体制の監査に役立つプロセスと手順も含まれています。これらの成熟度評価は、サイバー脅威への対応における現在の準備状況を把握する上で非常に重要です。成熟度評価は、既存の防御体制を包括的に把握し、潜在的な弱点を把握・改善するのに役立ちます。常に変化するサイバー環境において、定期的な成熟度評価は不可欠です。
組織にとって適切なサイバーセキュリティ成熟度評価フレームワークを選択することは、容易ではありません。一般的に、これらのフレームワークには2つのタイプがあります。1つは、あらゆる組織に適用できる広範かつ包括的なサイバーセキュリティフレームワークです。もう1つは、政府や業界団体によって義務付けられている、より専門的で焦点を絞ったフレームワークです。ほとんどの組織にとって、組織のニーズを満たし、規制にも準拠するには、ハイブリッドアプローチが最適なアプローチとなるでしょう。
最初のタイプ - 広範かつ包括的なサイバーセキュリティ成熟度評価フレームワーク:
NISTフレームワーク
NISTサイバーセキュリティ成熟度評価フレームワークは、米国国立標準技術研究所 (NIST) によって開発された柔軟で包括的なフレームワークです。
NISTのフレームワークと成熟度モデルは、特に米国において、企業のサイバーセキュリティにおいて最も優れた、最も広く利用されているフレームワークの一つです。連邦政府の支援により、利用者にとって更なる安心感がもたらされます。NISTは当初、このフレームワークを民間企業と共同で開発し、重要な産業の保護を目指していました。しかし、その後、その対象範囲は大幅に拡大しました。
このフレームワークは、識別、保護、検出、対応、復旧という5つのコア機能で構成されています。その柔軟性により、情報技術(IT)、産業用制御システム(ICS)、サイバーフィジカルシステム(CPS)、さらにはIoT接続デバイスにも適用されています。
ISO/IECフレームワーク
ISOシリーズは、あらゆる規模と種類の組織に適した、国際的に認められた成熟度評価規格です。欧州連合(EU)内または国際的に事業を展開する組織にとって、ISO成熟度評価フレームワークは、包括的なリスク評価とリスク軽減を実現する理想的な選択肢となります。しかし、NISTやCOBITとは異なり、ISOフレームワークにはコストがかかります。
サイバーセキュリティ成熟度評価の他に、プライバシー、機密性、技術的側面を管理するための広範な標準が含まれています。
国際標準化機構 (ISO) と国際電気標準会議 (IEC) が ISO フレームワークを開発しました。
COBITフレームワーク
情報関連技術(IT)管理とITガバナンスのための統制目標(COBIT)フレームワークは、1996年にISACAによって情報技術(IT)管理とITガバナンスのために開発されました。このフレームワークは、開始以来、幾度かの改良が行われてきました。
COBIT成熟度評価フレームワークは、NISTやISOと比較して、よりシンプルな代替手段です。小規模な組織にとって、COBITフレームワークはよりアクセスしやすく、導入も容易です。また、企業のビジネス目標とIT目標のより緊密な統合も実現します。
成熟度評価に加えて、組織がサーベンス・オクスリー法に準拠するのにも役立ちます。
CISフレームワーク
CISフレームワーク(CIS 20とも呼ばれる)は、インターネットセキュリティセンター(Center for Internet Security)によって開発されました。デジタルレジリエンスを確保するための20の主要なガイドラインで構成されています。CIS 20は、ベストプラクティスに基づいた技術的対策を実施することで、組織がサイバーセキュリティを向上させることを直接的に支援します。他のフレームワークとは異なり、CIS 20は直接的で実用的な情報を提供します。そのため、多くの組織で広く採用されています。
CIS フレームワークは、組織が CIS コントロールの実装を評価および追跡するのに役立つ自己評価ツールも提供します。
2 番目のタイプでは、業界や政府が義務付けている一般的なフレームワークをいくつか紹介します。
GDPR
一般データ保護規則(GDPR)は、組織が遵守すべき最も重要な規則の一つです。EU市民のデータを扱うすべての組織は、GDPRへの準拠が必須です。GDPRの目的は、より優れたセキュリティとデータ管理システムを義務付けることで、プライバシーを向上させることです。
HIPAA
HIPAA(医療保険の携行性と責任に関する法律)は、医療業界におけるデータのプライバシー、管理、セキュリティを規制するために制定された米国の規制です。HIPAAは、患者情報を保管または使用する米国のあらゆる組織に適用されます。
PCI DSS
PCIセキュリティスタンダード協議会(PCI DSS)は、クレジットカードまたはデビットカード取引を扱うすべての組織にPCI DSSへの準拠を義務付けています。PCI DSSは、この重要な業界における脅威への露出を最小限に抑え、機密性の高い金融情報を保護する上で不可欠です。