本記事では、NIST CSFとISMSについてそれぞれの特徴や共通点などについてお伝えします。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
NIST CSFとは?
NISTとは、National Institute of Standards and Technology=米国国立標準技術研究所という、アメリカの政府機関を指します。
この機関は以前から存在していましたが、サイバーセキュリティ強化法により、NISTの新たな役割として「サイバーセキュリティリスクに関するフレームワークを識別、策定」するという役割が加えられました(NIST CSFの前書きより)。
それに基づいて、米国大統領令13636号「重要インフラのサイバーセキュリティの改善」を受けて策定されたサイバーセキュリティフレームワーク(CSF)が、今回ご説明するNIST CSFです。
なお、実際のタイトルは、「Framework for Improving Critical Infrastructure Cybersecurity」となっています。
このフレームワークは、2014年2月に1.0版が発行され、その後、2018年4月に1.1版に改訂されました。
ISMSとは?
ISMSとは、情報セキュリティマネジメントシステムを意味します。つまり、情報セキュリティに関しての管理の仕組みのことです。
ISMSはこの仕組み自体を指しますが、ISMSに関するフレームワークとして、ISO/IEC(国際評価機構と国際電気標準会議)が策定した規格が、ISO/IEC 27001となります。以下、このISO/IEC 27001に関して比較していきます。
NIST CSFの内容
NIST CSFの全体は、フレームワークインプリメンテーションティア(以下「ティア」)、フレームワークコア(以下「コア」)、フレームワークプロファイル(以下「プロファイル」)という3つの要素で構成されています。それぞれの要素は以下のような意味を持ちます。
ティア
どの程度リスク管理ができているか(フレームワークの実装状況)を、4段階にレベル分けしています(インプリメンテーションは「実装」、ティアは「階層」という意味です)。
部分的に取り入れられているだけの段階から確実適用した状態になっている段階までの4段階に分けられてはいますが、CSFでは、「この段階を目指さなければならない」といったようにはなっていません。
組織が重視する部分や費用対効果等を加味したうえで、このセキュリティ対策はこのレベルまで、別のセキュリティ対策はこのレベルまで・・・といったように各対策ごとに重みづけしていくことになります。
コア
コアは「機能」、「カテゴリー」、「サブカテゴリ―」、「参考情報」の4つの要素で構成されています。機能は全部で5つあり、識別、防御、検知、対応、復旧がそれにあたります。
つまり、いくつものイベントの中からサイバー攻撃等を「識別」する機能(=働き)を持つもの、サイバー攻撃等から「防御」する働きを持つもの、サイバー攻撃等を受けた際に「検知」する働きを持つもの・・・といったように、それぞれの段階に分類されています。
そして、この5つの機能に対し、それぞれ「カテゴリー」、「サブカテゴリ―」、「参考情報」が記載されています。
カテゴリーは全部で23個あり、各カテゴリーの中にいくつかのサブカテゴリーがあり全部で108個のサブカテゴリーに分かれています。
そして、各サブカテゴリーに対応して参考情報が記載されています。参考情報には、例えばISO/IEC 27001等の他の規格等にある管理策との紐づけがされています。
プロファイル
「現在の対策状況」と「目標(理想)の対策状況」を洗い出し、そのギャップ分析をします。
ビジネス上求められていることや、コスト、リスクの許容度等といった観点から優先順位を付けて目標とする対策状況の実現を目指します。なお、NIST CSF上には、プロファイルの考え方についての記載があるのみで、具体的にどのように取り組んでいくのかの記載はありません。
ISO/IEC 27001の内容
ISO/IEC 27001は、本文と附属書Aで構成されています。
本文はPDCAをまわす上で必須で行わなければならないことが挙げられています。例えば、情報セキュリティ方針を定め、リスクアセスメントを行い、情報セキュリティ目的(目標)を定め、内部監査を行い・・・といったこと等は、必ずやるべき項目となります。
附属書Aには、リスク対応に関する管理策として93個が挙げられています。もっとも、この全ての管理策を組織のマネジメントシステムに適用することまでは求められていません。組織が必要とする管理策を実施することになります。
共通点
まずは、共通点から見ていきましょう。
ISO/IEC 27001とNIST CSFとの共通点としては、以下が挙げられます。
- リスクマネジメント(組織的にリスクを管理してリスクに基づく結果の発生の回避や低減等を図るプロセス)に関する枠組みを示している
- 必ずしも提示している全てのセキュリティ対策を取り入れることは想定していない(何を取り入れるかは組織が任意に決定できる)
- どのような組織にも導入できるような汎用性を意識して開発されている
- 「具体的に何を実施すればいいか」までの粒度では実施項目が示されていない(ある程度抽象的な記述にとどまっている)
このように、どちらも「このようなリスクへの対応策としてはこんなことが考えられますよ」「でも、具体的にどうしていくかは組織によって異なるから、各組織で具体的な対策(ルール策定やツール導入等)行っていってね」というスタンスです。
相違点
では、両者の相違点は何でしょうか。以下、挙げていきます。
対象となるリスクが「情報セキュリティリスク」か、「サイバーセキュリティリスク」かの違い?
ISO/IEC 27001は、管理するリスクの対象は「情報セキュリティ」全般です。
つまり、サイバーセキュリティリスクも含んで対象としています。これに対して、NIST CSFは、「サイバーセキュリティリスク」のみを対象としています。
このように対象となる情報の種類に関しては、ISO/IEC 27001の方が汎用性がありますが、まんべんなく対象としているため、個々の分野においては単に規格に準拠するだけでは対策として薄い部分もあります。
それに対して、NIST CSFはサイバーセキュリティリスクに特化しての対応策を108個定めているため、サイバーセキュリティ分野に関してはISO/IEC 27001よりも厚く対応策を取ることが可能です(もちろん、ISO/IEC 27001でも管理策に無い対策を採ることは想定されており、NIST CSFよりも厚くサイバーセキュリティリスクへの対応策を組み込むことは可能である旨付記しておきます)。
対象となる情報資産(重要なインフラに限定されているか)の違い
ISO/IEC 27001は当初から情報資産全般のセキュリティを対象として規格化されています。
これに対し、NIST CSFはもともとのフレームワーク作成経緯は「重要インフラ」のサイバーセキュリティ保護にありました。そのため、規格ないしフレームワークがもともと重要インフラを対象としたものか否かという点は違います。
もっとも、NIST CSFに関しても、「本文書は、重要インフラのサイバーセキュリティリスクマネジメントを改善することを目的として作成されたものだが、フレームワークは、どんな業界あるいはコミュニティの組織でも利用できる」(エグゼクティブサマリーより)」と記されているとおり、実際はどのような組織でも利用できるような汎用性があります。
仕組みを取り入れるための資源の投資に関しての違い
ISO/IEC 27001では、「ISMSの確立, 実施, 維持及び継続的改善に必要な資源を決定し, 提供しなければならない」と規定しています(7.1 資源)。もちろん、組織として資源を投資していくうえでコスト意識はされているという前提はあるかと思いますが、コストに関する話は特に出てきません。
これに対して、NIST CSFでは、「優先順位を決めて投資」、「費用対効果」といったようなコストを意識した文言が随所に現れています。
どちらがいいというわけではないですが、ISO/IEC 27001のほうは規格に明記されていない分、ISMSを構築・運用する際に費用対効果等のコストに対して意識しておかないと、ついつい費用対効果のない対策を採ってしまう等といったおそれが出てきます。
管理策・対応策の対象の違い
ISO/IEC 27001の附属書Aに挙げられた管理策は殆どは事前の対策についてのものです(「A.5.24 情報セキュリティインシデント管理の計画策定及び準備」や「A.5.29 事業継続のたいめのICTの備え」で事後対策についての管理策等がある程度です)。これに対して、NIST CSFは、サイバー攻撃等を受けたときの検知、対応、復旧といった事後対応についても多くの対応策を挙げています。
目標への到達の手段の違い
ISO/IEC 27001本文では、PDCAをまわすことによって情報セキュリティマネジメント体制を構築していく方法が規定されています。これに対し、NIST CSFでは特にPDCAサイクルをまわすといった話は出てきません。
「プロファイル」で、現在の状況と理想の状況とのギャップ分析から採るべき対応策の優先順位を決めそれに従って実施していくことになります(もちろん、その実施のうえでPDCAを回していくことは可能ですが、フレームワーク上でそこまで求められているわけではありません)。
第三者認証制度の有無の違い
ご存じのとおり、ISO/IEC 27001は、「ISMS適合性評価制度」といったような第三者機関による認証制度が存在します。これに対して、NIST CSFは、そのような認証制度はありません。
そのため、組織が取引相手や消費者に対して、情報セキュリティ等についての対策をしっかりとしていることを示したい場合にはISO/IEC 27001に基づいたISMS体制構築(と認証機関による審査)に取り組んでいくことになります。
おわりに
いかがでしたでしょうか。
以上、ISO/IEC 27001とNIST CSFの概要と相違点を見てきました。どちらの規格/フレームワークも、組織の情報セキュリティ/サイバーセキュリティを考慮する際に役立つものですし、どちらも相矛盾するものではありません。
両方の対応策を比較して見ていくことで、リスクへの良い対応策への気付き、より深く考慮するべきリスクの存在への気付き・・・等、組織のリスクマネジメントにとっての新たな発見があるかもしれません。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。
