NIST の CSF と Gartner の CTEM:抜群に相性が良い理由を解説しよう – XM Cyber

NIST Cybersecurity Framework (CSF) and CTEM – Better Together

2024/09/05 TheHackerNews — 米国 NIST (National Institute of Standards and Technology) が Cybersecurity Framework (CSF) 1.0 を導入してから、すでに 10 年が経過している。2013 年の大統領令に従い NIST が作成したのは、組織がサイバー・リスクを管理し、確立されたスタンダードとベスト・プラクティスに基づくガイダンスを提供するための、自主的なサイバーセキュリティ・フレームワークである。このフレーム・バージョンは、重要インフラ向けに調整されたものだったが、2018 年のバージョン 1.1 は、サイバー・セキュリティ・リスク管理に取り組む、すべての組織向けに設計されたものである。


セキュリティ体制の評価と強化を目指す組織にとって、この CSF は貴重なツールである。このフレームワークはセキュリティ関係者に対して、その時点のセキュリティ対策を理解/評価させ、リスクを管理するためのアクションの整理と優先順位を付けを促し、組織内外のコミュニケーションを改善する共通言語を提供するものだ。具体的に言うと、ガイドライン/ベストプラクティス/推奨事項の包括的なコレクションであり、5つのコア機能である Identify/Protect/Detect/Respond/Recover に分割されている。それぞれの機能には、次のようなカテゴリとサブカテゴリが含まれる。

  • Identify (識別):どの資産を保護すべきかを把握する。
  • Protect (保護):資産を適切かつ十分に保護するための対策を実施する。
  • Detect (検出):攻撃や弱点を検出するためのメカニズムを設定する。
  • Respond (対応):データ侵害の影響を受けた個人に対して、データを危険にさらす可能性のある直近のイベントを通知するための、詳細な計画を作成する。さらに、攻撃の影響を最小限に抑えるために、対応計画を定期的にテストする。
  • Recover (回復):攻撃後の復旧と稼働のためのプロセスを確立する。


CSF 1.1 の5つのステップについて詳しく知りたい場合には、NIST CSF チェック・リストをダウンロードしてほしい。

継続的な改善に重点を置いた CSF 2.0 の変更

2024年2月に NIST は、CSF 2.0 をリリースした。この新しいバージョンの目標は、CCSF の適応性を高め、広範な組織において幅広く採用されるようにすることにある。初めて CSF を導入しようとする組織は、この新しいバージョンを使用すべきである。すでに使用している組織は、将来的に 2.0 を導入することを視野に入れるべきである。

CSF 2.0 には、いくつかの変更点がある。それらの進歩の中で、最初のステップとして “Govern” が追加された。ISC.2.org は、「CSF のガバナンス・コンポーネントでは、企業リスクの主な原因がサイバー・セキュリティにあるとし、財務や評判など要素と同等に、上級管理職が考慮する必要性が強調されている。その目的は、より広範な企業リスク管理/役割と責任/組織のポリシーなどと、サイバー・セキュリティを統合することで、組織の幹部へ向けたサイバー・セキュリティ・リスクの伝達を、より適切にサポートすることにある」と述べている。

また、カバーする範囲が拡大され、より明確でユーザー・フレンドリーにもなっている。そして、最も重要なことは (少なくともこの記事の目的においては)、新たな脅威に重点を置き、識別機能に追加された改善カテゴリを通じて、サイバー・セキュリティに対する継続的でプロアクティブなアプローチに焦点を当てたことである。継続的なアプローチを取るということは、サイバー・セキュリティ・プラクティスに対して定期的な評価が行われ、その更新が繰り返されるということである。それによりユーザー組織は、インシデントなどに迅速かつ正確に対応し、その影響を軽減できることになる。

CSF と CTEM を組み合わせるのがベター

現時点において、CSF ガイドラインの高レベルなパラメータ内で機能するように設計された、複数の実用的なフレームワークとツールが存在する。たとえば、Continuous Threat Exposure Management (CTEM) は、CSF と極めて補完的な関係にある。2022 年に Gartner によりリリースされた CTEM フレームワークは、脅威の露出管理を処理する方法に大きな変化をもたらしている。CSF はサイバー・リスクを特定/評価/管理するための高レベル・フレームワークを提供するが、CTEM は組織のセキュリティ体制に対する脅威 (リスク自体を構成する脅威) に対する、継続的な監視と評価に重点を置いている。

CSF のコア機能は、脅威を特定して優先順位付けを行い、それらの脅威に対する組織の脆弱性を評価し、侵害の兆候を継続的に監視する、CTEM アプローチと相性が良い。したがって、CTEM を採用することで、組織における NIST CSF コンプライアンスが大幅に成熟していく。

CTEM より以前においては、脆弱性を見つけて修正するための、定期的な脆弱性評価と侵入テストが、脅威エクスポージャー管理のスタンダードだと考えられていた。しかし、これらの方法から提供されるのは、セキュリティ体制のスナップショットだけであり、分析前に時代遅れになることが多かった。

CTEM は、このすべてを変革している。このプログラムが説明するのは、攻撃対象領域に関する継続的な洞察の組織的な獲得の方法と、攻撃者が悪用する前に脆弱性とエクスポージャーを積極的に特定して軽減する方法である。それを実現するために、CTEM プログラムが統合するのは、エクスポージャー評価/セキュリティ検証/自動セキュリティ検証/攻撃対象領域管理/リスクの優先順位付けなどの、高度なテクノロジーである。それらは、NIST CSF 1.1 と完全に一致しており、5つのコア CSF 機能に対して具体的なメリットをもたらす。

  • Identify (識別):CTEM では、資産/システム/データを厳密に識別するインベントリを、組織として作成することが求められる。それにより、セキュリティ・リスクをもたらす未知の資産や、忘れられた資産が見つかることもある。NIST CSF の識別機能で概説されているように、このような強化された可視性は、サイバー・セキュリティ管理の強力な基盤を確立する上で不可欠である。
  • Protect (保護):CTEM プログラムは、脆弱性やミスコンフィグが悪用される前に、それらを積極的に特定していく。CTEM は、実際の潜在的な影響と、悪用される可能性に基づき、リスクに優先順位を付ける。それにより組織は、最も重要な脆弱性から順番に対処できるようになる。さらに、CTEM により指示される攻撃パス・モデリングが、組織における侵害のリスクを軽減する。これら全てが、CSF プログラムの保護機能に対して、劇的な影響を及ぼす。
  • Detect (検出):CTEM では、外部の攻撃対象領域を、継続的に監視する必要性が生じる。それにより、潜在的な脅威に対する早期警告が提供され、CSF の検出機能に好影響が生じる。CTEM は、新しい脆弱性や公開されたサービスなどの、攻撃対象領域の変更を特定することで、組織において被害が発生する前に、起こり得る攻撃を迅速に検出/対応できるようにする。
  • Respond (対応):セキュリティ・インシデントが発生した場合における、CTEM のリスク優先順位付け規定は、組織における対応の優先順位付けを支援し、最も重要なインシデントが最初に対処されることを保証する。また、CTEM が義務付けている攻撃パス・モデリングは、攻撃者がシステムにアクセスした方法を、組織が理解する際に有益なものとなる。つまり、組織が脅威を封じ込めて根絶するための、目的を絞り込んだアクションを達成できるようにすることで、CSF 対応機能に対して好影響を与える。
  • Recover (回復):CTEM の継続的な監視と、リスク優先順位付けは、CSF の回復機能において重要な役割を果たす。CTEM により、脆弱性に対す迅速な特定/対処が可能になるため、セキュリティ・インシデントの影響が最小限に抑えられ、迅速な回復が約束される。また、攻撃パス・モデリングは、回復プロセスの弱点に対する特定/対処にも役立つ。
結論

NIST Cybersecurity Framework (CSF) と Continuous Threat Exposure Management (CTEM) プログラムは、まさに兄弟のような関係にあり、サイバー脅威から組織を守るために連携させるべきものである。 CSF は、サイバー・セキュリティ・リスクを管理するための、包括的なロードマップを提供する。その一方で CTEM は、脅威の検出と緩和に対する、動的かつデータ主導のアプローチを提供する。

CSF と CTEM の連携は、CTEM が重視する継続的な監視と脅威評価が、CSF のコア機能とシームレスに統合されているところにポイントがある。CTEM を採用することで、組織は CSF へのコンプライアンスを大幅に強化すると同時に、攻撃対象領域に関する貴重な洞察を得ることが可能となり、脆弱性を積極的に緩和できるようになる。

タイトルには、CSF と CTEM の相性が良いと書きましたが、CFS の抽象化レベルを、現実の世界へと引き寄せているのが CTEM なのだと、捉えるほうが正しいのかも知れません。CTEM に関しては、2024/08/27 の「CTEM への注目:新たなカテゴリがセキュリティを支援する – Gartner」でお伝えしていますが、その CTEM と CSF の関係を紐づけてくれるのが、今日の記事となります。

話は変わりますが、このブログの記事件数も、そろそろ 5,000 本になります。これだけ記事が集まると、脅威情報の一部としての意味を持つのではないかと思っています。そこで、PoC Exp というページを作り、PoC などへのリンクと併せてリスト化しています。暫定的かつ実験的なものなので、将来的には消えてしまう可能性が高いですが、よろしければ、ご参照ください。