IEC 62443-2-1第2版の改訂内容と推奨される対応
2024年8月、IEC 62443-2-1の改訂第2版「IACSアセットオーナーのためのセキュリティプログラム要求事項」が発行されました。第1版からの要件構成の変更、62443シリーズの他文書との連携、成熟度モデルの導入など多岐にわたり変更された第2版の概要や、改訂に伴って推奨される対応について解説します。
はじめに
組織の情報セキュリティ担当者は情報資産を守るために、大量かつ広範囲のセキュリティ業務を抱えており、日々高度化する攻撃に対応する必要に迫られています。そのような状況の中では、優先順位を見極めて自組織にとって本当に必要なセキュリティ対応から取り組んでいかなければ、対策が後手に回ってしまいます。
米国の非営利組織The MITRE Corporationの子会社が発表した「Threat-Informed Defense」は、その優先順位を決めるための参考になり、NIST(米国国立標準技術研究所)が策定したサイバーセキュリティフレームワーク(CSF)などと組み合わせることで大きな効果を発揮します。本稿では、Threat-Informed Defenseの概念や重要性について解説します。
Threat-Informed Defenseとは
概要
CVE(共通脆弱性識別子)の運用で知られる米国非営利組織The MITRE Corporationの子会社MITRE Engenuity, LLCのCenter for Threat Informed Defense(以下、Center)は2024年4月にThreat-Informed Defenseのフレームワークと成熟度評価モデルを発表しました*1。
MITRE Engenuityは、脅威インテリジェンスの活用に基づいた防御アプローチに関する研究開発を推進しており、既に多くの成果を同社のウェブサイト上で公開しています。しかし、これまで脅威インテリジェンスを活用したフレームワークとその構成要素の明確な定義は存在しませんでした。
今回発表されたフレームワーク「Measuring, Maximizing, and Maturing Threat-Informed Defense(以下、M3TID)1.0.0」では、Threat-Informed Defenseを「敵の技術や技術に対する深い理解を体系的に応用して防御力を向上させる防御方法」と定義しています。
そして、「Cyber Threat Intelligence(攻撃を理解する)」「Defensive Measure(自発的防御)」「Test & Evaluation(脅威情報や攻撃への新しいアプローチで継続的にテストする)」の3ディメンションで合計15キーコンポーネント別に成熟度を定義し、評価する仕組みとしています。
M3TIDに関連するフレームワーク
セキュリティに関するフレームワークはこれまでにも多数存在し、M3TIDの中でも関連するコンプライアンスフレームワークが以下のとおり言及されています*3。
図表2:フレームワークの概要
| フレームワーク名 | 概要 |
| PCI | クレジットカードデータを扱う事業者のフォーラムPCI Security Standards Councilで策定している各種フレームワーク。クレジット業界のグローバルセキュリティ規準であるPCI DSSが有名 |
| Service Organization Control Type 2 (SOC2) |
全米公認会計士協会(AICPA)策定した、サービス提供企業の信頼性とデータセキュリティに関するフレームワーク。セキュリティ、機密性、プライバシー、可用性、処理の完全性から組織のセキュリティ水準を評価 |
| NIST Risk Management Framework (RMF) |
組織や情報資産のセキュリティリスク(プライバシーリスクを含む)の管理方法を示したフレームワーク。セキュリティ、プライバシー、サイバーサプライチェーンリスク管理をシステム開発ライフサイクルに統合したプロセスを提供 |
| Cybersecurity Maturity Model Certification (CMMC) |
米国国防省が策定しているセキュリティ能力成熟度モデル。成熟度を5つのレベルで定義し、NISTのセキュリティ標準に併せて各成熟度レベルの要件を整理 |
| NIST CSF | NIST策定の汎用的・体系的なサイバーセキュリティフレームワーク。統制、識別、防御、検知、対応、復旧の6つのカテゴリーから組織の成熟度(ティア)を定義 |
出典:M3TIDをもとにPwC作成
これら既存のフレームワークは、標準に基づいた「ベースラインレベル」のセキュリティベストプラクティスを目的としており、M3TIDと競合するものではありません。M3TIDのアプローチと組み合わせることで、防御手段の優先順位付けや意思決定の迅速化が期待できることから、補完関係にあると言えるでしょう。
例えば、NIST CSFの防御(Protect)のサブカテゴリー「PR.PS-02:ソフトウェアは、リスクと整合的に維持、代替、削除されている」は適切なパッチを期間内に適用することが実装例として含まれますが、脅威インテリジェンスを活用して攻撃者の手口や攻撃対象としている業界などをあらかじめ理解しておけば、適用するパッチの優先順位を迅速に決定できます。
アセスメントツール
アセスメントのメリット
実際に、現在の自組織がM3TIDの観点からどの程度成熟しており、将来どの程度の成熟度を目指すべきかを可視化するためには成熟度の判定が必要になります。M3TIDではその成熟度を判定するため、上記15キーコンポーネント別に成熟度スコアをつけて判定するためのアセスメントシートを提供しています*4。
図表3:キーコンポーネントのレベル例
| ディメンション | キーコンポーネント | 概要(日本語参考訳) | レベル(日本語参考訳) |
| Cyber Threat Intelligence | I.3- Relevance of Threat Data | 脅威情報はどこから来ているのか、どの程度タイムリーなのか | レベル1. なし レベル3. 内部レポート レベル4. 最近の詳細なレポート(多くの場合、サブスクリプションが必要) レベル5. カスタマイズされたブリーフィング |
| Defensive Measures | D.5- Deception Operations | 防御目標と新しい脅威インテリジェンスの収集を可能にするためのDeception技術の運用は、どの程度広範囲かつ効果的か | レベル1. なし レベル2. 疑わしい実行可能ファイルのサンドボックス化(例:電子メールの添付ファイルを配信前に処理する) レベル3. 1個、あるいは数個のハニー(ポット、トークン、ドキュメントなど)が展開および監視され、悪意のある使用の検出と早期警告を可能にする レベル4. ハニーネットワークの展開と監視 レベル5. 現実的なハニーネットワークにおける意図的で長期的なDeception活動 |
| Test & Evaluation | T.2- Frequency of Testing | テストは変化する攻撃者や防御されたテクノロジーに対応しているか | レベル1. なし レベル2. 年次または臨時 レベル3. 半年ごと レベル4. 毎月 レベル5. 継続的 |
出典:M3TIDをもとにPwC作成
各キーコンポーネントのスコアを記入すると、全体スコア結果と詳細スコアがレーダーチャートで表示されます。全体スコアは「Defensive Measures>Cyber Threat Intelligence>Test & Evaluation」の順番で重み付けされて計算されています。これは防御策を実装することが最も重要というCenterの考え方によるものです。
まずは自社の現在の成熟度をこのアセスメントシートで判定するのが望ましいと考えられます。ただし、より客観性を担保し、関連するフレームワークでどのように適用すべきかを検討する上では、第三者によるアセスメントシートの評価と、フレームワークとの整合性に関するアドバイスを得るのが望ましいと考えられます。
優先項目の推奨事項
Centerではまずアセスメントシートで現状評価を行い、スコアがゼロのものから優先的に着手し、その後スコアの重み付けに従い「Defensive Measures>Cyber Threat Intelligence>Test & Evaluation」の順でスコアを上げる項目を決めることを推奨しています*6。
まとめ
これまでは脅威インテリジェンスをベースに成熟度を判断するM3TIDのような指標は未定義でした。しかし、新たに発表されたM3TIDを使うことで、攻撃者の技術や技術に対する深い理解を体系的に応用して防御力を向上させる方法へ発展的に移行することができます。
今後、M3TIDを活用する動きがグローバルで拡大することが想定されます。NIST CSFやPSIのようなフレームワークを採用している組織は、そのフレームワークとM3TIDを組合わせることで、セキュリティ対応の優先順位を見極めるという大きな効果を期待できます。
*1 Center for Threat-Informed Defense, ‘Measure, Maximize, and Mature Threat-Informed Defense v1.0.0,’
https://center-for-threat-informed-defense.github.io/m3tid/
*2 Center for Threat-Informed Defense, ‘Three Dimensions of Threat-Informed Defense,’
https://center-for-threat-informed-defense.github.io/m3tid/dimensions/
*3 Center for Threat-Informed Defense, ‘Getting Started with Threat-Informed Defense,’
https://center-for-threat-informed-defense.github.io/m3tid/getting-started/
*4 Center for Threat-Informed Defense, ‘Appendix B - Scoring Spreadsheet,’
https://center-for-threat-informed-defense.github.io/m3tid/spreadsheet/
*5 Center for Threat-Informed Defense, ‘Appendix B - Scoring Spreadsheet,’
https://center-for-threat-informed-defense.github.io/m3tid/spreadsheet/を使用してPwCが作成
*6 Center for Threat-Informed Defense, ‘Maximize & Mature Threat-Informed Defense,’
https://center-for-threat-informed-defense.github.io/m3tid/maxmature/
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
54 results
Loading...
「営業秘密」の保護と利活用 第1回:競争優位性の維持向上に不可欠な営業秘密保護対応
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
事業のグローバル化からみるサイバー・物理セキュリティ強化の必要性
本海外規格や国内外のガイドラインを踏まえて、日本企業が国際水準の物理セキュリティを整備する必要性を解説し、実際にどのように「物理セキュリティペネトレーションテスト」を導入・活用できるかをご紹介します。
望ましいサイバーセキュリティの未来(銀行業界編)
スイス連邦財務省国際金融問題局の独立調査ユニットであるSwiss Financial Innovation Deskが発行した「Pathway 2035 for Financial Innovation」レポートを基に、銀行業界のサイバーセキュリティ戦略におけるAI、耐量子、デジタルトラスト、デジタル通貨のテーマ別に、それぞれの未来予測とサイバーリスク、望ましい対応策を整理します。
Loading...
インサイト/ニュース
40 results
Loading...
国内で進む経済安全保障関連法整備の狙いと企業の対応
世界に先駆けて経済安全保障の包括的対策を法制化した日本。法制度の趣旨や既存法制との違いについて法律の専門家に解説いただくとともに、日本電気の実例を基に、リスクと機会を正しく捉える企業対応のあり方を探ります。
日本企業は新世界秩序と大国間の対立をどう乗り越えられるか
コロンビア大学ロースクール教授でPwC Japanグループ顧問のアニュ・ブラッドフォードが、米国の新政権誕生によって米国・欧州・中国関係が転換点を迎える今、国際貿易とデジタル規制の最新動向を分析し、日本企業がとるべき具体的な対応策を解説します。
デジタル規制、いま企業に求められること ビジネスパーソンとメディアの新たな関係
NIKKEI Digital Governance 編集長の中西豊紀氏とTMI総合法律事務所パートナー弁護士の大井哲也氏とともに、企業に求められるデジタル法規制対応のあり方を示し、実務担当者の意思決定を支えるメディアの役割について議論しました。
日経Digital Governanceフォーラム「グローバルビジネス、勝つためのデジタル法規制対応」
「NIKKEI Digital Governance 」が主催する本フォーラムでは、各国のデジタル法規制の最新動向を専門家が解説。さらに、日本企業がこれらのデジタル法規制に対応し、競争力をどのように維持・向上させるかについて議論します。
Loading...
