セキュリティ課題を解決する第一歩、共通評価フレームワークのすすめ

コンサルティングサービス部の谷口です。

2022年から発足したサイバーセキュリティイニシアティブジャパン（以下、CSIJ）という、国内のサイバーセキュリティ環境向上を目的としたセキュリティ団体で活動しています。

CSIJでは、セキュリティ業界を横断して日本企業に向けたセキュリティ対応の支援をしています。その一環で、サイバーセキュリティの共通対策フレームワークの策定などを行う評価分科会において、セキュリティの課題を可視化できる「共通評価フレームワーク」を作成しています。本記事では、共通評価フレームワークの使い方やメリットを紹介します。

共通評価フレームワークとは

共通評価フレームワークとは、サイバーセキュリティの共通対策となるフレームワークです。企業のセキュリティ対策状況を可視化するための簡易チェックツールとして、無償で公開しています。

「セキュリティ対策をしたいが、どこから手を付けて良いかわからない」「システムを安全に使うにはどうすればよいかわからない」等の悩みを抱える企業の担当者が、セキュリティ対策のファーストステップとして自組織のセキュリティリスクを把握し、今後のセキュリティ対策計画の策定/実行等に活用できます。現在、クラウド版、OT版、セキュリティ体制版の3つのフレームワークを公開しています。

クラウド共通評価フレームワーク

クラウド共通評価フレームワークは、共通評価フレームワークの第1弾としてリリースされました。対象は、クラウド環境の利用を検討している企業や、クラウドサービスを現在利用しているが安全性に不安がある企業などです。

クラウド共通評価フレームワークのチェックシートに回答することで、利用しているクラウドサービス（IaaS、PaaS、SaaS）のセキュリティ対策状況や、自社の運用体制等の状況を可視化できます。

可視化できるカテゴリーは、Governance、Incident Response、Compliance、Posture Management、ID Management、Data Protectで、調査の設問数は42問です。

分類	分類	評価対象
組織	組織 組織の情報セキュリティに関する規定類・運用方針などを確認
ネットワーク	外部ネットワーク クラウドサービスにインターネット経由でアクセスするネットワークを想定
端末	標準OA端末（社内・社外利用） クラウドを利用し、開発・保守管理を行う標準OA端末を想定
クラウド	IaaS/PaaSサービス クラウド上に自社でシステム開発・運用を実施している環境を想定
	SaaSサービス 社外での業務を想定し、機微情報を保有する等のSaaSサービスを想定

OT版共通評価フレームワーク

OT版共通評価フレームワークは、主に工場のOT環境を利用している企業を対象に作成されました。昨今、重要インフラに留まらず製造業もサイバー攻撃の対象となり、インターネット接続やIoTとの融合による利便性の向上に伴って、セキュリティ上のリスクが増大している背景があります。

そこで、NIST SP-800-82やISMS等の基準を参考にチェックシートを作成しました。これに回答することで、OT環境に必要なセキュリティ対策状況を可視化できます。

可視化できるカテゴリーは、Governance、Incident Response、Posture Management、Data Protectで、評価領域は先に掲示した図を参照ください。この調査の設問数は31問です。

セキュリティ体制版共通評価フレームワーク

セキュリティ体制版共通評価フレームワークは、組織におけるセキュリティインシデント対応体制について、対策状況を可視化するチェックシートです。昨今、企業規模問わずサイバー攻撃の対象となるため、インシデントが発生した際は迅速に対応・復旧できる体制を整備する必要があります。

そこで、IPAやNIST CSF等の基準を参考にチェックシートを作成しました。これに回答することで、自社の運用体制等の状況を可視化できます。

可視化できるカテゴリーは、Governance、Incident Response、Education、Configuration Managementで、この調査の設問数は18問です。

評価フレームワークの利用方法

評価フレームワークを利用するには、以下の手順が必要です。

1. 利用のご連絡	共通評価フレームワークの利用には利用者IDが必要となります。
2. 利用者IDご案内	ラックより利用者IDの発行およびサイトのご案内をいたします。 ※ 1つのIDにつき1サービスの評価となります。複数のサービスの評価を行う場合はその旨ご連絡ください。
3. Webアンケート回答	共通評価フレームワークのアンケート画面に利用者IDを入力し、質問に対するご回答を進めていただきます。
4. 回答結果レポート送付	Webアンケートにご回答完了後、Webアンケート内で登録いただいたメールアドレスに簡易評価レポートをメールで送付いたします。 評価レポートの内容など、ラックへの問い合わせも可能です。

ラックでは、利用の問い合わせを簡略化するため、専用のフォームを用意しています。興味がある方は、ぜひこちらからお問い合わせください。

なお、会員企業の連絡先一覧は、CSIJのHPに掲載されています。

※ 評価FW利用案内 | CSIJ

Webアンケートに回答すると、評価結果が即日送付されます。評価結果はサマリレポートとして提供され、各領域の対策状況、各チェック項目の対策の方針を把握できます。

評価結果を用いて、経営層への報告やパートナー企業への共有、セキュリティ対策のフィットギャップの改善等に利用できます。セキュリティ対策を実行する場合に、ソリューションの導入や対策推進の伴走等のご相談についても、CSIJに参画しているセキュリティベンダ等の会員企業からのサポート体制（有償）も整備しています。

評価フレームワークの事例

CSIJでは、評価結果を定期的に集計し、統計データとして公開しています。現在、クラウド共通評価フレームワークを利用した各組織のクラウド評価結果をもとに、項目別の遵守率および組織の属性を合わせた傾向を分析しました。

統計結果によると、企業規模に関係なく、脆弱性診断、セキュリティパッチの管理等の対策が不十分である組織が多いことなどがわかりました。詳細な統計データはCSIJのコラムの「評価フレームワーク（クラウド版） 先行調査の集計結果まとめ」に記載をしています。

今後も定期的に評価結果の集計を行い、皆様に有用なデータを提供します。

終わりに

今回紹介したCSIJが提供する共通評価フレームワークは、セキュリティ対策の現状の可視化や経営層への報告などに利用できるため、セキュリティの課題を解決する第一歩として有効なツールだと考えています。

この記事を読んで、もしご興味をお持ちいただけましたら、以下、リンクからCSIJ事務局にお問い合わせください。

プロフィール