米国国立標準技術研究所(NIST)の「フレームワーク」の試験的導入とその成果について

2014年2月12日に米政府が「Framework for Improving Critical Infrastructure Cybersecurity(重要インフラのサイバーセキュリティを向上させるためのフレームワーク)(以下、フレームワーク)」を発表しましたが、Intel、Intel Securityに所属する私たちの多くは、その内容について詳しく知っていました。フレームワークを開発する官民共同プロセスに広範囲にわたって参加してきたからです。ただし、まだ明確でなかったのは、試験時にフレームワークがどれくらい有効であるか、どのような知識が得られるのか、実際にどのような利点があるのか、ということでした。フレームワークはあらゆる規模の組織にとって有用なツールであるはずだと理論的には理解していましたが、こうした専門家の想定が実際の組織において有効かどうか自分たちで試してみたいと考えていました。サイバーセキュリティに注力し、幅広い製品とサービスを管理している事業部門を選定し、Intelでの使用事例を作成しました。私たちはIntel IT部門を選び出し、計算インフラのオフィス環境と事業環境を対象として、パイロットプロジェクトを指揮しました。

私たちは、共通の言語を作成して一連の静的要件ではなくプロセスとリスクの管理ツールとしてフレームワークの使用を促すような、事例の構築に重点的に取り組みました。この狙いは成功を収め、先日、この経験をホワイトペーパーとして文書化しました。こうした初期の段階であっても、フレームワークは既に、リスク管理技術と言語の調和、Intelのリスク展望に関する見通しの改善、社内間でのリスク許容度の議論の提供、およびセキュリティの優先順位の設定、予算の策定、セキュリティソリューションの配備を行う能力の強化をサポートしています。

このパイロットプロジェクトの最も重要な側面のひとつは、このプロジェクトにより生み出されてきたセキュリティプロセスと専門用語に関する議論です。たとえば、セキュリティポリシーは、全社を通して同じ方法で記述される可能性がありますが、製造と人事といったグループでは異なる方法で実装される場合があります。こうした差異を認識することが重要であり、これに関して議論することが、組織のセキュリティ文化の一部となります。

私たちは、Intelの他の事業部での実装のみならず、他の組織に対してもフレームワークの実装を推進しています。私たちの経験に基づくアドバイスをご紹介します。

「フレームワーク」の実装について:

  • 自分たちで実施する:フレームワークは、測定の基準ではなく、発見するためのツールとして作られているので、他社による参加および評価に頼らないでください。
  • 取り組みやすいところから開始する: 私たちのIT Security組織では、既に同様の取り組みを始めていたため、オフィス環境と事業環境の2つのビジネス機能から開始したことは私たちにとって理にかなっていました。
  • フレームワークを自分たちの事業に合わせる: カテゴリーとサブカテゴリーを追加、変更、削除することで、フレームワークを組織のビジネス環境に合わせられます。フレームワークをカスタマイズすることを恐れないでください。
  • プロセスのあらゆる段階で、常に意思決定者を参加させる:サイバーリスク管理は、動的なプロセスです。反復と検証が繰り返されることによって、リスクに関する意見交換が継続的に起こるようになります。それが目的なのです。

フレームワークに関する継続中の作業について:

  • サイバー脅威のインテリジェンスを含める:米国でフレームワークの開発が続くなかで、私たちは、サイバー脅威インテリジェンスのライフサイクルといった主要な要素を含めるべきだと考えています。これは、サイバーセキュリティ攻撃のしっかりとした理解を得るのに不可欠です。
  • 米国外にも展開する:私たちは、フレームワークの利点は米国に限定されないと考えています。実際に、世界の他地域の国々の政府からフレームワークの潜在能力についてもっと知りたいという問い合わせがくるようになりました。私たちは、世界中で国境を超えた意見交換とフレームワークの採用を推進します。

Intelは、フレームワークを継続して使用し、私たちの他の事業分野を解析できることを心待ちにしています。フレームワークは私たちの組織全体に価値をもたらすと考えているからです。私たちは、フレームワークをパッケージから取り出し、実用的なツールにしてきたので、コンプライアンスよりもむしろリスク管理に注力することで、フレームワークは世界規模でサイバーセキュリティを変化させ、コンピュート・コンティニュアムにおいてサイバーセキュリティを促進させる潜在能力があるという私たちの見解に自信を持っているのです。

※本ページの内容はMcAfee Blogの抄訳です。

原文:We Tried the NIST Framework and It Works

著者:

Intel Security 標準およびテクノロジーポリシー担当ディレクター、ケント・ランドフィールド(Kent Landfield)

Intel社 セキュリティおよびプライバシー担当最高責任者、マルコム・ハーキンズ(Malcolm Harkins)