はじめに - Vol.20
Eセキュリティ-NIST CSF 2.0:「🧩対応関係表」
本記事では、Vol.19 Eセキュリティ で紹介した内容に基づき、
「NIST CSF 2.0 のカテゴリー」と「非機能要求グレード(E セキュリティ)の小項目」の
対応関係表を整理しています。
非機能要求グレードの活用シートを作成するときや、
セキュリティ要件を整理・記述する際の観点整理や漏れチェックに活用いただけます。
※本対応表は筆者独自の解釈に基づいて作成しており、公式な定義やIPAの見解とは異なる場合があります。
CSFのカテゴリー軸(対応理由付き)
統治 GV(Govern): E.1
非機能要求グレード 該当小項目と理由
| NISTカテゴリー | 非機能要求グレード | 理由 |
|---|---|---|
|
GV.OC (組織の状況) Organizational Context |
E.1.1 情報セキュリティに関するコンプライアンス |
法令やガイドラインへの準拠は組織の状況・規制要件と密接に関係するため |
|
GV.RM (リスクマネジメント戦略) Risk Management Strategy |
なし | (当該システムに要求する事項が無ければ、その旨記載し割愛できる) |
|
GV.RR (役割、責任、権限) Roles, Responsibilities, and Authorities |
なし | (同上) |
|
GV.PO (ポリシー) Policy |
なし | (同上) |
|
GV.OV (監督) Oversight |
なし | (同上) |
|
GV.SC (サイバーセキュリティサプライチェーンリスクマネジメント) Cybersecurity Supply Chain Risk Management |
なし |
サードパーティリスク(サプライチェーンリスク)対策が必要な場合ここに記載 ※ 非機能要求グレード 第2版(2018年)以降に着目されたリスク |
識別 ID(Identify): E.2、E.4.1~2
非機能要求グレード 該当小項目と理由
| NISTカテゴリー | 非機能要求グレード | 理由 |
|---|---|---|
|
ID.AM (資産管理) Asset Management |
E.2.1 セキュリティリスク分析 |
資産洗い出しはリスク分析の前提であり資産管理カテゴリに該当するため |
|
ID.RA (リスクアセスメント) Risk Assessment |
E.2.1 セキュリティリスク分析 |
脅威と影響の分析はリスク評価カテゴリに該当するため |
| 〃 |
E.4.1 セキュリティリスクの見直し |
運用後に発生する新たな脅威の評価は継続的リスク評価としてRisk Assessmentに該当するため |
|
ID.IM (改善) Improvement |
E.4.2 セキュリティリスク対策の見直し |
新たな脅威への対策見直しは継続的改善カテゴリに該当するため |
防御 PR(Protect): E.3、E.4.3、E.5、E.6、E.7.2、E.8.1、E.8.3、E.9、E.10
非機能要求グレード 該当小項目と理由
| NISTカテゴリー | 非機能要求グレード | 理由 |
|---|---|---|
|
PR.AA (アイデンティティ管理・認証・アクセス制御) Identity Management, Authentication, and Access Control |
E.5.1 認証機能 |
認証機能は、アイデンティティ管理・認証に該当するため |
| 〃 |
E.5.2 利用制限 |
認証後の利用制限はアクセス制御に該当するため |
| 〃 |
E.5.3 管理方法 |
認証情報のライフサイクル管理は、認証に含まれるため |
|
PR.AT (意識向上とトレーニング) Awareness and Training |
なし | (当該システムに要求する事項が無ければ、その旨記載し割愛できる) |
|
PR.DS (データセキュリティ) Data Security |
E.6.1 データ暗号化 |
機密データの暗号化はデータセキュリティに該当するため |
| 〃 |
E.7.2 データ検証 |
データ改ざん検知・デジタル署名はデータ完全性維持としてデータセキュリティに該当するため |
|
PR.PS (プラットフォームセキュリティ) Platform Security |
E.3.1 セキュリティ診断 |
脆弱性診断やコードレビューはプラットフォームセキュリティ維持に含まれるため |
| 〃 |
E.4.3 セキュリティパッチ適用 |
システム・OS等へのパッチ適用はプラットフォームセキュリティに該当するため |
| 〃 |
E.8.1 ネットワーク制御 |
ネットワーク境界制御等はプラットフォームセキュリティに該当するため |
| 〃 |
E.9.1 マルウェア対策 |
マルウェア対策はプラットフォームセキュリティに含まれるため |
| 〃 |
E.10.1 Web実装対策 |
Webアプリ脆弱性対策はプラットフォームセキュリティに該当するため |
|PR.IR (技術インフラのレジリエンス)
Technology Infrastructure Resilience|E.8.3
サービス停止攻撃の回避|DoS緩和等のレジリエンス強化はTechnology Infrastructure Resilienceに該当するため|
検知 DE(Detect): E.7.1、E.8.2
非機能要求グレード 該当小項目と理由
| NISTカテゴリー | 非機能要求グレード | 理由 |
|---|---|---|
|
DE.CM (継続的監視) Continuous Monitoring |
E.7.1 不正監視 |
不正行為を検知するための継続的ログ監視はContinuous Monitoringに該当するため |
|
DE.AE (有害事象の分析) Adverse Event Analysis |
E.8.2 不正検知 |
不正通信の検知・分析はAdverse Event Analysis に該当するため |
対応 RS(Respond): E.11
復旧 RC(Recover): E.11
非機能要求グレード 該当小項目と理由
| NISTカテゴリー | 非機能要求グレード | 理由 |
|---|---|---|
|
RS.MA (インシデント管理) Incident Management |
E.11.1 セキュリティインシデントの対応体制 |
E.11はE.11.1の1項目しかなく、 E.11 セキュリティインシデント対応/復旧の対応が、RS(対応)に該当するため |
|
RS.AN (インシデント分析) Incident Analysis |
〃 | 〃 |
|
RS.CO (インシデント対応の報告とコミュニケーション) Incident Response Reporting and Communication |
〃 | 〃 |
|
RS.MI (インシデントの軽減) Incident Mitigation |
〃 | 〃 |
|
RC.RP (インシデント復旧計画の実行) Incident Recovery Plan Execution |
E.11.1 セキュリティインシデントの対応体制 |
E.11はE.11.1の1項目しかなく、 E.11 セキュリティインシデント対応/復旧の復旧が、RC(復旧)に該当するため |
|
RC.CO (インシデント復旧のコミュニケーション) Incident Recovery Communication |
〃 | 〃 |
「E セキュリティ」の小項目軸(逆引き)
構成
中項目ID 中項目名: 中項目に関係するNIST CSFのカテゴリー識別子(ページ内リンク付)
● 小項目IDごと: 小項目に関連するNIST CSFのカテゴリー識別子(ページ内リンク付)
非機能要求グレードの小項目を軸に記載する際の注意事項小項目とメトリクスの内容(折りたたんでいます)
E.1 前提条件・制約条件: GV
-
E.1.1:GV
E.1.1 は GV.OC (組織の状況) に対応しますが、GV には、GV.OC しか対応項目がないため、GV で対応が必要な要件は全て E.1.1 に記述します。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.1.1 情報セキュリティに関するコンプライアンス 順守すべき情報セキュリティに関する組織規程やルール、法令、ガイドライン等が存在するかどうかを確認するための項目。 なお、順守すべき規程等が存在する場合は、規定されている内容と矛盾が生じないよう対策を検討する。 例) ・国内/海外の法律 ・資格認証 ・ガイドライン ・その他ルール |
E.1.1.1 ○ 順守すべき社内規程、ルール、法令、ガイドライン等の有無 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.1.1.1 ○ 順守すべき社内規程、ルール、法令、ガイドライン等の有無 |
0: 無し 1: 有り 【メトリクス】 規程、法令、ガイドライン等を確認し、それらに従い、セキュリティに関する非機能要求項目のレベルを決定する必要がある。 例) ・国内/海外の法律 不正アクセス禁止法・不正競争防止法・プロバイダ責任法・改正個人情報保護法・SOX法・EU一般データ保護規則(GDPR)・特定電子メール送信適正化法・電子署名法 など ・資格認証 プライバシーマーク・ISMS/ITSMS/BCMS/CSMS・ISO/IEC27000系・PCI DSS・クラウド情報セキュリティ監査・TRUSTe など ・ガイドライン FISC・FISMA/NIST800・政府機関の情報セキュリティ対策のための統一基準 など ・その他ルール 情報セキュリティポリシー など 【レベル1】 構築するシステムが関係する国や地域によって、順守すべき法令やガイドラインが異なることに注意すること。 |
E.2 セキュリティリスク分析: ID
-
E.2.1:ID.AM (資産管理)、ID.RA (リスクアセスメント)
E.2.1 は、ID.AM (資産管理)とID.RA (リスクアセスメント)に対応するため、両方の対応要件を記載します。
また、ID.RA (リスクアセスメント) には、「E.2.1 セキュリティリスク分析」も対応することを考慮する必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.2.1 セキュリティリスク分析 システム開発を実施する中で、どの範囲で対象システムの脅威を洗い出し、影響の分析を実施するかの方針を確認するための項目。 なお、適切な範囲を設定するためには、資産の洗い出しやデータのライフサイクルの確認等を行う必要がある。 また、洗い出した脅威に対して、対策する範囲を検討する。 |
E.2.1.1 ○ リスク分析範囲 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.2.1.1 ○ リスク分析範囲 |
0: 分析なし 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: 開発範囲 【メトリクス】 システム開発中に実施するセキュリティリスク分析では、ソフトウェアのサポート終了や暗号の危殆化等の運用期間に顕在化するリスクも考慮する。 【レベル1】 外接部分とは、インターネットへの接続部分や、外部へ情報を持ち出す際に用いる媒体等を接続する部分、また、外部システムとデータのやりとりを行う部分等を意味する。 なお、以降のレベルにおいても同様の意味で用いている。 |
E.3 セキュリティ診断: PR.PS
-
E.3.1:PR.PS (プラットフォームセキュリティ)
PR.PS には複数の小項目が対応しているため、プラットフォームに対する対応要件は、適切な小項目に割り振る必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.3.1 セキュリティ診断 対象システムや、各種ドキュメント(設計書や環境定義書、実装済みソフトウェアのソースコードなど)に対して、セキュリティに特化した各種試験や検査の実施の有無を確認するための項目。 |
E.3.1.1 ○ ネットワーク診断実施の有無 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.3.1.1 ○ ネットワーク診断実施の有無 |
0: 無し 1: 有り 【メトリクス】 ネットワーク診断には、目視による設定の確認や、疑似攻撃を実施することにより脆弱性を発見する診断(ペネトレーションテスト)、ネットワーク上のサーバや通信機能をもつソフトウェアなどに対する脆弱性調査等がある。 【レベル1】 ネットワーク診断は、システム運用開始前に実施するだけでなく、システム運用中の定期的な実施も検討する。 |
| E.3.1.2 ○ Web診断実施の有無 |
0: 無し 1: 有り 【メトリクス】 Web診断とは、Webサイトに対して行うWebサーバやWebアプリケーションに対するセキュリティ診断のことを言う。 【レベル1】 Web診断は、システム運用開始前に実施するだけでなく、システム運用中の定期的な実施も検討する。 |
| E.3.1.3 DB診断実施の有無 |
0: 無し 1: 有り 【メトリクス】 DB診断とは、データベースシステムに対して行うセキュリティ診断のことを言う。 【レベル1】 DB診断は、システム運用開始前に実施するだけでなく、システム運用中の定期的な実施も検討する。 |
E.4 セキュリティリスク管理: ID.RA、ID.IM、PR.PS
-
E.4.1:ID.RA (リスクアセスメント)
ID.RA には、「E.4.1 セキュリティリスクの見直し」も対応することを考慮して記述する必要があります。 - E.4.2:ID.IM (改善)
-
E.4.3:PR.PS (プラットフォームセキュリティ)
PR.PS には複数の小項目が対応しているため、プラットフォームに対する対応要件は、適切な小項目に割り振る必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.4.1 セキュリティリスクの見直し 対象システムにおいて、運用開始後に新たに発見された脅威の洗い出しとその影響の分析をどの範囲で実施するかを確認するための項目。 セキュリティリスクの見直しには、セキュリティホールや脆弱性、新たな脅威の調査等が含まれる。 |
E.4.1.1 セキュリティリスク見直し頻度 E.4.1.2 セキュリティリスクの見直し範囲 |
|
E.4.2 セキュリティリスク対策の見直し 対象システムにおいて、運用開始後に発見された脅威に対する対策の方針を確認するための項目。 また、検討するにあたり、発見された脅威についての対応範囲について明らかにする。 |
E.4.2.1 運用開始後のリスク対応範囲 E.4.2.2 リスク対策方針 |
|
E.4.3 セキュリティパッチ適用 対象システムの脆弱性等に対応するためのセキュリティパッチ適用に関する適用範囲、方針および適用のタイミングを確認するための項目。 これらのセキュリティパッチには、ウィルス定義ファイル等を含む。 また、セキュリティパッチの適用範囲は、OS、ミドルウェア等毎に確認する必要があり、これらセキュリティパッチの適用を検討する際には、システム全体への影響を確認し、パッチ適用の可否を判断する必要がある。 なお、影響の確認等については保守契約の内容として明記されることが望ましい。 |
E.4.3.1 セキュリティパッチ適用範囲 E.4.3.2 セキュリティパッチ適用方針 E.4.3.3 セキュリティパッチ適用タイミング |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.4.1.1 セキュリティリスク見直し頻度 |
0: 無し 1: セキュリティに関するイベントの発生時に実施(随時) 2: セキュリティに関するイベントの発生時に実施(随時) + 定期的に実施 【レベル】 セキュリティに関するイベントとは、重要な脅威や脆弱性の発見、ウィルス感染、不正侵入、DoS攻撃、情報漏えいなどの情報セキュリティに関するインシデントのことを指す。 |
| E.4.1.2 セキュリティリスクの見直し範囲 |
0: 分析なし 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: システム全体 |
| E.4.2.1 運用開始後のリスク対応範囲 |
0: 対応しない 1: 重要度が高い資産に関連する、あるいは、外接部分の脅威に対応 2: 洗い出した脅威全体に対応 |
| E.4.2.2 リスク対策方針 |
0: 無し 1: 有り 【レベル1】 リスク対応方針がある場合は、どのような対策を実施するのかを確認する必要がある。 |
| E.4.3.1 セキュリティパッチ適用範囲 |
0: セキュリティパッチを適用しない 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: システム全体 |
| E.4.3.2 セキュリティパッチ適用方針 |
0: セキュリティパッチを適用しない 1: 緊急性の高いセキュリティパッチのみ適用 2: 全てのセキュリティパッチを適用 |
| E.4.3.3 セキュリティパッチ適用タイミング |
0: セキュリティパッチを適用しない 1: 障害パッチ適用時に合わせて実施 2: 定期保守時に実施 3: パッチ出荷時に実施 【レベル】 セキュリティパッチを適用するまでの脅威等にさらされている期間は、監視強化や暫定対策の実施を検討する。 【レベル3】 パッチが出荷されてから適用するまでの期間について検討することが望ましい。パッチ検証を実施する場合、環境準備等を含め、パッチ適用までに期間を要することを考慮する。 |
E.5 アクセス・利用制限: PR.AA
-
E.5.1~3:PR.AA (アイデンティティ管理・認証・アクセス制御)
PR.AA は、E.5 に対応しているため、PR.AA の内容を E5.1~3 に振り分けて記述する必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.5.1 認証機能 資産を利用する主体(利用者や機器等)を識別するための認証を実施するか、また、どの程度実施するのかを確認するための項目。 複数回の認証を実施することにより、抑止効果を高めることができる。 なお、認証するための方式としては、ID/パスワードによる認証や、ICカード等を用いた認証等がある。 |
E.5.1.1 ○ 管理権限を持つ主体の認証 E.5.1.2 管理権限を持たない主体の認証 |
|
E.5.2 利用制限 認証された主体(利用者や機器など)に対して、資産の利用等を、ソフトウェアやハードウェアにより制限するか確認するための項目。 例) ドアや保管庫の施錠、USBやCD-RWやキーボードなどの入出力デバイスの制限、コマンド実行制限など。 |
E.5.2.1 ○ システム上の対策における操作制限度 E.5.2.2 物理的な対策による操作制限度 |
|
E.5.3 管理方法 認証に必要な情報(例えば、 ID/パスワード、指紋、虹彩、静脈など、主体を一意に特定する情報)の追加、更新、削除等のルール策定を実施するかを確認するための項目。 |
E.5.3.1 管理ルールの策定 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.5.1.1 ○ 管理権限を持つ主体の認証 |
0: 実施しない 1: 1回 2: 複数回の認証 3: 複数回、異なる方式による認証 【メトリクス】 管理権限を持つ主体とは、システムの管理者や業務上の管理者を指す。 |
| E.5.1.2 管理権限を持たない主体の認証 |
0: 実施しない 1: 1回 2: 複数回の認証 3: 複数回、異なる方式による認証 |
| E.5.2.1 ○ システム上の対策における操作制限度 |
0: 無し 1: 必要最小限のプログラムの実行、コマンドの操作、ファイルへのアクセスのみを許可 【メトリクス】 ソフトウェアのインストール制限や、利用制限等、ソフトウェアによる対策を示す。 |
| E.5.2.2 物理的な対策による操作制限度 |
0: 無し 1: 必要最小限のハードウェアの利用や操作のみを許可 【メトリクス】 セキュリティゲート等のファシリティによるサーバルームへの入退室管理、情報の保管場所や、サーバ等に対する施錠、USBやCD-RWの入出力デバイスの制限等のための物理的な対策実施を示す。 |
| E.5.3.1 管理ルールの策定 |
0: 実施しない 1: 実施する |
E.6 データの秘匿: PR.DS
-
E.6.1:PR.DS (データセキュリティ)
ID.DS には、「E.7.2 データ検証」も対応することを考慮して記述する必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.6.1 データ暗号化 機密性のあるデータを、伝送時や蓄積時に秘匿するための暗号化を実施するかを確認するための項目。 |
E.6.1.1 ○ 伝送データの暗号化の有無 E.6.1.2 ○ 蓄積データの暗号化の有無 E.6.1.3 鍵管理 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.6.1.1 ○ 伝送データの暗号化の有無 |
0: 無し 1: 認証情報のみ暗号化 2: 重要情報を暗号化 【レベル1】 認証情報のみ暗号化とは、システムで重要情報を取り扱うか否かに関わらず、パスワード等の認証情報のみ暗号化することを意味する。 |
| E.6.1.2 ○ 蓄積データの暗号化の有無 |
0: 無し 1: 認証情報のみ暗号化 2: 重要情報を暗号化 【レベル1】 認証情報のみ暗号化とは、システムで重要情報を取り扱うか否かに関わらず、パスワード等の認証情報のみ暗号化することを意味する。 |
| E.6.1.3 鍵管理 |
0: 無し 1: ソフトウェアによる鍵管理 2: 耐タンパデバイスによる鍵管理 【レベル】 ソフトウェアによる鍵管理とは、秘密鍵情報に対し、ソフトウェアの設定等によりアクセス制御を実施するような管理のことである。 耐タンパデバイスによる鍵管理とは、ICカードのような、物理的な仕掛により、攻撃への耐性を高めた専用デバイスによる管理のことである。これにより、鍵情報の改竄や漏洩といった脅威に対して、より厳密に管理することができる。 |
E.7 不正追跡・監視: DE.CM、PR.DS
- E.7.1:DE.CM (継続的監視)
-
E.7.2:PR.DS (データセキュリティ)
ID.DS には、「E.6 データの秘匿 - E.6.1 データ暗号化」も対応することを考慮して記述する必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.7.1 不正監視 不正行為を検知するために、それらの不正について監視する範囲や、監視の記録を保存する量や期間を確認するための項目。 なお、どのようなログを取得する必要があるかは、実現するシステムやサービスに応じて決定する必要がある。 また、ログを取得する場合には、不正監視対象と併せて、取得したログのうち、確認する範囲を定める必要がある。 |
E.7.1.1 ○ ログの取得 E.7.1.2 ○ ログ保管期間 E.7.1.3 ○ 不正監視対象(装置) E.7.1.4 ○ 不正監視対象(ネットワーク) E.7.1.5 ○ 不正監視対象(侵入者・不正操作等) E.7.1.6 確認間隔 |
|
E.7.2 データ検証 情報が正しく処理されて保存されていることを証明可能とし、情報の改ざんを検知するための仕組みとしてデジタル署名を導入するかを確認するための項目。 |
E.7.2.1 デジタル署名の利用の有無 E.7.2.2 確認間隔 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.7.1.1 ○ ログの取得 |
0: 実施しない 1: 実施する 【メトリクス】 取得対象のログは、不正な操作等を検出するための以下のようなものを意味している。 取得したログは個々のログを確認するだけでなく、複数のログを組み合わせて相関分析することも検討する。必要に応じて、ログと作業記録との突き合わせも行う。 ・ログイン/ログアウト履歴(成功/失敗) ・操作ログ ・セキュリティ機器の検知ログ ・通信ログ ・DBログ ・アプリケーションログ 等 |
| E.7.1.2 ○ ログ保管期間 |
0: 6ヶ月 1: 1年 2: 3年 3: 5年 4: 10年以上有期 5: 永久保管 |
| E.7.1.3 ○ 不正監視対象(装置) |
0: 無し 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: システム全体 【メトリクス】 不正監視対象(装置)とは、サーバ、ストレージ等への不正アクセス等の監視のために、ログを取得する範囲を確認するメトリクス。 |
| E.7.1.4 ○ 不正監視対象(ネットワーク) |
0: 無し 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: システム全体 【メトリクス】 不正監視対象(ネットワーク)とは、ネットワーク上の不正なパケット等を監視するためのログの取得範囲を確認するメトリクス。 |
| E.7.1.5 ○ 不正監視対象(侵入者・不正操作等) |
0: 無し 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: システム全体 【メトリクス】 不正監視対象(侵入者・不正操作等)とは、不正な侵入者等を監視するために設置する監視カメラ等による監視の範囲を意味する。 |
| E.7.1.6 確認間隔 |
0: 無し 1: セキュリティに関するイベントの発生時に実施(随時) 2: セキュリティに関するイベントの発生時に実施(随時) + 定期的に実施 3: 常時確認 【レベル3】 常時確認とは、常に不正なアクセス等を監視し、即座に対応可能な状態を意味する。 自動検知システムを導入し、不正検知時にメール等で通知する仕組みの導入は、セキュリティに関するイベントの発生時に実施(随時)に含まれる。 |
| E.7.2.1 デジタル署名の利用の有無 |
0: 無し 1: 有り |
| E.7.2.2 確認間隔 |
0: 無し 1: セキュリティに関するイベントの発生時に実施(随時) 2: セキュリティに関するイベントの発生時に実施(随時) + 定期的に実施 3: 常時確認 |
E.8 ネットワーク対策: PR.PS、DE.AE、PR.IR
-
E.8.1:PR.PS (プラットフォームセキュリティ)
PR.PS には複数の小項目が対応しているため、プラットフォームに対する対応要件は、適切な小項目に割り振る必要があります。 - E.8.2:DE.AE (有害事象の分析)
- E.8.3:PR.IR (技術インフラのレジリエンス)
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.8.1 ネットワーク制御 不正な通信を遮断するための制御を実施するかを確認するための項目。 |
E.8.1.1 ○ 通信制御 |
|
E.8.2 不正検知 ネットワーク上において、不正追跡・監視を実施し、システム内の不正行為や、不正通信を検知する範囲を確認するための項目。 |
E.8.2.1 ○ 不正通信の検知範囲 |
|
E.8.3 サービス停止攻撃の回避 ネットワークへの攻撃による輻輳についての対策を実施するかを確認するための項目。 |
E.8.3.1 ○ ネットワークの輻輳対策 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.8.1.1 ○ 通信制御 |
0: 無し 1: 有り 【レベル1】 通信制御を実現する際には、ファイアウォール、IPS、URLフィルタ、メールフィルタ等の導入を検討する必要がある。 |
| E.8.2.1 ○ 不正通信の検知範囲 |
0: 無し 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: システム全体 【メトリクス】 検知範囲の設定に応じて、IDS等の導入を検討する必要がある。 |
| E.8.3.1 ○ ネットワークの輻輳対策 |
0: 無し 1: 有り |
E.9 マルウェア対策: PR.PS
-
E.9.1:PR.PS (プラットフォームセキュリティ)
PR.PS には複数の小項目が対応しているため、プラットフォームに対する対応要件は、適切な小項目に割り振る必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.9.1 マルウェア対策 マルウェア(ウィルス、ワーム、ボット等)の感染を防止する、マルウェア対策の実施範囲やチェックタイミングを確認するための項目。 対策を実施する場合には、ウィルス定義ファイルの更新方法やタイミングについても検討し、常に最新の状態となるようにする必要がある。 |
E.9.1.1 ○ マルウェア対策実施範囲 E.9.1.2 リアルタイムスキャンの実施 E.9.1.3 フルスキャンの定期チェックタイミング |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.9.1.1 ○ マルウェア対策実施範囲 |
0: 無し 1: 重要度が高い資産を扱う範囲、あるいは、外接部分 2: システム全体 |
| E.9.1.2 リアルタイムスキャンの実施 |
0: 実施しない 1: 実施する 【レベル1】 リアルタイムスキャンは、例えば、以下のようなタイミングで実施する。 実施する際は実施するタイミングを検討する必要がある。 ・ファイルサーバへデータをコピーするタイミング ・メールサーバがメールを受信したタイミング ・ファイルへの入出力処理が実行される前 等 |
| E.9.1.3 フルスキャンの定期チェックタイミング |
0: 無し 1: 不定期 (フルスキャンを行えるタイミングがあれば実施する) 2: 1回/月 3: 1回/週 4: 1回/日 |
E.10. Web実装対策: PR.PS
-
E.10.1:PR.PS (プラットフォームセキュリティ)
PR.PS には複数の小項目が対応しているため、プラットフォームに対する対応要件は、適切な小項目に割り振る必要があります。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.10.1 Web実装対策 Webアプリケーション特有の脅威、脆弱性に関する対策を実施するかを確認するための項目。 |
E.10.1. ○ セキュアコーディング、Webサーバの設定等による対策の強化 E.10.1. ○ WAFの導入の有無 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.10.1.1 ○ セキュアコーディング、Webサーバの設定等による対策の強化 |
0: 無し 1: 対策の強化 【メトリクス】 Webシステムが攻撃される事例が増加しており、Webシステムを構築する際には、セキュアコーディング、Webサーバの設定等による対策の実施を検討する必要がある。 また、実施した結果の有効性を確認するための専門家のレビューやソースコード診断、ツールによるチェック等についても検討する必要がある。 |
| E.10.1.2 ○ WAFの導入の有無 |
0: 無し 1: 有り 【メトリクス】 WAFとは、Web Application Firewallのことである。 |
E.11 セキュリティインシデント対応/復旧: RS、RC
-
E.11.1:対応 RS(Respond)、復旧 RC(Recover)
E.11.1 は、対応 RS(Respond)と復旧 RC(Recover)に対応するため、両方の対応要件を記載します。
小項目とメトリクスの内容(折りたたんでいます)
| 小項目 | メトリクス(〇: 重要項目) |
|---|---|
|
E.11.1 セキュリティインシデント対応/復旧 セキュリティインシデントが発生した時に、早期発見し、被害の最小化、復旧の支援等をするための体制について確認する項目。 |
E.11.1.1 セキュリティインシデントの対応体制 |
| 項番 メトリクス |
レベル0/1/2/3/4/5 備考 |
|---|---|
| E.11.1.1 セキュリティインシデントの対応体制 |
0: 無し 1: 有り 【メトリクス】 セキュリティインシデント発生時の対応以外にも、インシデント対応マニュアルの整備や、システムの関係者に対するセキュリティ教育を実施する。 【レベル0】 セキュリティインシデント発生の都度、インシデント対応体制を構築する場合も含まれる。 【レベル1】 新たに対応体制を構築する他に、ユーザ企業内のCSIRTを利用する場合や、外部のセキュリティ対応サービスを利用する場合も含まれる。 |
まとめ
セキュリティ要件を整理・記述する際に有用な、
NIST CSF 2.0 と 非機能要求グレード(E セキュリティ) との
対応関係表の例を紹介しました。
※あくまで筆者の実務的視点に基づく整理であり、公式見解ではない点をご留意ください。
最後に、NTTデータの金融高度技術本部では、ともに金融ITの未来を切り拓く仲間を募集しています。
[募集要領] [NTTデータ 金融分野の取り組み]
NTT DATA公式アカウントです。 技術を愛するNTT DATAの技術者が、気軽に楽しく発信していきます。 当社のサービスなどについてのお問い合わせは、 お問い合わせフォーム nttdata.com/jp/ja/contact-us/ へお願いします。
設定によりコメント欄が無効化されています