米国の機関は火曜日に発表した勧告の中で、サイバーセキュリティの態勢を改善したい企業は、リスク評価を実施し、セキュリティ上の欠陥に対処する方法を優先するなど、いくつかの措置を講じることができると述べた。
米国国立標準技術研究所 (NIST) の報告書「暫定的なサイバーセキュリティフレームワーク」では、企業に対し、現在のサイバーセキュリティの実践を評価し、サイバー攻撃に対する防御の高度化を目指すよう呼びかけています。
米国企業にとって、このフレームワークへの準拠は任意であり、文書に記載されているアイデアの多くは既存のベストプラクティスから引き出されたものです。しかし、NIST所長のパトリック・ギャラガー氏は、ほとんどの企業は推奨事項の一部を採用することでサイバーセキュリティ対策を強化できるはずだと述べています。
「重要インフラ事業に対するサイバー脅威が増加していることは疑いようがありません。実際、ビジネス界全体が自社のデータと資産を公式に保護するための、強力で実証済みの手段を必要としています」とギャラガー氏は記者会見で述べた。「サイバーセキュリティは優れたビジネスだと考えています。」
このフレームワークは、企業が互いに責任を負い合い、サイバーセキュリティへの取り組みの「成熟度」を「評価」し、セキュリティ目標を設定するのに役立つとギャラガー氏は述べた。このフレームワークは、企業のセキュリティと「収益」の両方を向上させるのに役立つはずだとギャラガー氏は述べた。
「このフレームワークは脅威への耐性を提供するものではありません」とギャラガー氏は述べた。「魔法の弾丸はありません。サイバーリスクを排除するものではありません。このフレームワークの目的は、リスクを効果的に管理することです。」
サイバーセキュリティフレームワークがどのように役立つか
ギャラガー氏によると、多くの推奨事項は、様々な企業が導入できるよう柔軟性を保つため、具体的な内容が明示されていないように見えるかもしれない。しかし、この文書はNIST、国際計測制御学会、国際標準化機構(ISO)、その他の組織の標準規格を多数参照しているとギャラガー氏は指摘する。これらの標準規格は「情報セキュリティ管理のほぼすべての側面」を網羅しているという。
「ここでの本当の目的は、何か新しいものを追加することではなく、使いやすく、適応性があり、拡張可能なものを提供することを目的として設計されたのです」と彼は語った。
バラク・オバマ米大統領は2月に発令された大統領令において、NISTに対し、この枠組みにおける一連の自主的なサイバーセキュリティ基準を作成するよう指示しました。火曜日に発表されたNISTのガイドラインは、昨年8月に発表された文書の改訂版であり、NISTは来年2月にこの枠組みの正式版を発表する予定です。
このフレームワークには、企業がサイバーセキュリティ・プログラムを導入、または既存のプログラムを改善するために取るべきステップに関する推奨事項が含まれています。また、この文書ではサイバーセキュリティへの準備状況を4段階に分け、最下層はリスク管理の実践が「正式化されていない」企業と定義しています。
最下層では、「リスクは場当たり的に、時には事後対応的に管理される」とフレームワークは述べている。「サイバーセキュリティ活動の優先順位付けは、組織のリスク目標、脅威環境、あるいはビジネス/ミッション要件から直接的に判断されない可能性がある。」
サイバーセキュリティのスペクトルの対極に位置する、適応型サイバーセキュリティの実践を行っている企業は、「過去のサイバーセキュリティ活動から得られた教訓と予測指標」に基づいて取り組みを進めていると、フレームワークは述べている。「継続的な改善プロセスを通じて、組織は変化するサイバーセキュリティ環境に積極的に適応する。」
ギャラガー氏によると、このフレームワークの作成過程において、3,000人以上がNISTと連携してきたという。NISTは11月14日と15日にノースカロライナ州ローリーのノースカロライナ州立大学でこのフレームワークに関するワークショップを開催する予定で、ギャラガー氏は来年2月の正式リリース後もこのフレームワークが進化していくと予想している。
