SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press

約3年で北海道北部風力送電のサイバーセキュリティ体制構築──ポイントはどこに? Trellixに訊く

重要インフラにおけるNIST CSFの有効性

 重要インフラへのサイバー攻撃が深刻化する中、Trellixは北海道北部風力送電のサイバーセキュリティ体制構築プロジェクトを成功裏に完了させた。同プロジェクトは、米国国立標準研究所(NIST)が公開するサイバーセキュリティフレームワーク(CSF)に基づいた対策を講じているが、どのように進められたのか。専門家に話を訊いた。

NIST CSFやSP800-171を活用する理由

 2023年9月5日、Trellixは北海道北部風力送電における「NIST CSF」に基づいたサイバーセキュリティ体制構築プロジェクトを成功裏に完了したと発表[1]。重要インフラにおけるサイバーセキュリティには高い関心が寄せられている現在、同社ではCSIRTやSOCの構築支援、規定改定などのセキュリティコンサルティングサービスを提供している。今回は、北海道北部風力送電のサイバーセキュリティ体制構築プロジェクトに関わった2名の専門家に詳細を訊いた。

*     *     *

──北海道北部風力送電におけるサイバーセキュリティ体制構築プロジェクトは、NIST CSFに基づいています。『政府機関等のサイバーセキュリティ対策のための統一基準群』(以下、統一基準)でも、「SP800-171」などのセキュリティガイドラインに言及されていますね。あらためて、これらが注目されている理由は何でしょう。

其山氏:たしかにNIST CSFやSP800-171は、我が国のガイドラインやセキュリティ関連文書でも言及されることが多くなっています。たとえば、経済産業省『サイバーセキュリティ経営ガイドライン』では、NIST CSFとの対応関係が記述されていますね。また、SP800-171は、“サプライチェーンリスク”に関わるため、近年リスクが高まっていることから関心が寄せられています。

麓氏:NIST CSFは、サイバーセキュリティを「識別」「防御」「検知」「対応」「復旧」の5つのフェーズで捉えており、サイバー攻撃の現況に当てはめた理解がしやすいのです。いわゆる“総合的な”サイバーセキュリティ体制の構築に役立つものですが、あくまでフレームワークのため強制力はなく、採用すべきソリューションが指定されているわけでもありません。

 一方、SP800-171は“機密レベル”ではない重要情報(CUI:Controlled Unclassified Information)の保護にフォーカスを当てています。つまり、同基準を満たしていないと機密情報も守れないということですね。また、「SP800-82」というOT向けのセキュリティガイドラインもあり、これらはNIST CSFとあわせて活用できます。

Musarubra Japan プロフェッショナルサービス本部 アドバイザリーサービス部 プリンシパルコンサルタント 麓広大氏
Trellix プロフェッショナルサービス本部 アドバイザリーサービス部
プリンシパルコンサルタント 麓広大氏

 そして、NIST CSFは現在の1.1版から2.0版に向けて更改が進んでいます。世界中から意見を集約した最初のドラフト版が公開されており、2.0では対象範囲が拡大するとともに、ガバナンスに関する記述が大幅に増える見通しです。NIST CSFの5つのフェーズに触れましたが、それらをつなぎあわせるような形になることでしょう。

──なぜ、NIST CSFに準拠した対策を講じるべきなのでしょうか。

麓氏:第一に日本政府が公開しているセキュリティ関連のガイドラインの多くがNIST CSFを参照し、整合性をとっていることに加えて、地政学的リスクを鑑みたサイバーセキュリティ政策を強めている点が挙げられます。特に防衛に係る分野では日米関係も重要視されるため、米国のNISTが公開するサイバーセキュリティ標準を利用する方が効率的などの理由があるでしょう。

 また、グローバルで広く定着してきており、海外のサイバーセキュリティカンファレンスでは、講演内容に対して必ず「NIST CSFのどこに該当するのか」という質問が投げかけられるなど、浸透してきた印象を受けます。それ故に、デファクトスタンダードとしてのNIST CSFを使うことで、議論そのものが前進するとも感じていますね。

其山氏:NIST CSFは米国の大統領令に端を発したものですが、その策定においては世界中の関連団体が参画しています。SP800-171と比較すると、はじめから広い土俵で議論が交わされているため裾野がどんどん広がっていき、今ではグローバル規模で浸透していると言えるでしょう。

麓氏:世界中で公表されているガイドラインを精査している専門家が作成しており、サイバー攻撃への対処という観点では、国によって基本的な部分に大きな差は出にくいとも考えています。

 あくまでも“サイバーセキュリティの考え方”として理にかなっており、意識向上や具体的な対策につなげやすいといったメリットが大きい。だからこそ、NIST CSFやSP800-171をベースとすることに対して懸念はほとんどなく、重要インフラで採用する場合においても同様のことが言えます。

次のページ
日頃から経営層とコミュニケーションを取ることが重要

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

吉澤 亨史(ヨシザワ コウジ)

元自動車整備士。整備工場やガソリンスタンド所長などを経て、1996年にフリーランスライターとして独立。以後、雑誌やWebを中心に執筆活動を行う。パソコン、周辺機器、ソフトウェア、携帯電話、セキュリティ、エンタープライズ系など幅広い分野に対応。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18872 2023/12/20 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング