この記事は、NFLaboratories Advent Calendar 2024 10 日目の記事です。
研究開発部 システム&セキュリティ担当の松倉です。
NFLabs. のアドベントカレンダーでは様々な技術の話で盛り上がっていますが、本記事では趣向を変えて、ちょっとお堅いセキュリティアセスメントについて話をします。
セキュリティ分野におけるフレームワーク
セキュリティ分野においてフレームワークとは、企業や組織の情報セキュリティまたはサイバーセキュリティを確保するために用いるガイドラインや対策基準、ベストプラクティス集などのことを指します。代表的なものとして、NIST サイバーセキュリティフレームワーク (CSF)*1 や、ISMS 認証で知られる ISO/IEC 27001*2 などがあります。
組織のセキュリティマネジメントを構築する際にこれらのフレームワークをうまく活用することで、効率的に、かつ一定の水準が担保されたセキュリティ対策を実装しやすくなります。セキュリティフレームワークを用いる場合には、業界、取引先の要求、扱う情報の価値、組織の現在のセキュリティマネジメントの状態(これから構築するのか、今の体制の改善を目指すのか、等)などを踏まえ、自組織に合ったフレームワークを選択するのが望ましいでしょう。
本記事ではセキュリティフレームワークの 1 つとして NIST SP 800-171 を、セキュリティアセスメントの手法として CMMC を、それぞれ紹介します。
NIST SP 800 シリーズと SP 800-171
NIST SP 800 シリーズは、米国の NIST (National Institute of Standards and Technology) が発行するセキュリティに関する文書群で、セキュリティマネジメントやリスクマネジメント、セキュリティ技術、セキュリティ対策状況を評価する指標などが幅広く網羅されています。また、実施すべきタスクや手順の識別も具体的に記されており、組織が順序立ててセキュリティ対策を推進するうえで有益なものとなっています。IPA がセキュリティ関連 NIST 文書のまとめページを公開しており、本ページに SP 800 シリーズも掲載されています。
SP 800-171 は SP 800 シリーズの中でも情報セキュリティの管理策についてまとめられている文書です。「非連邦政府組織およびシステムにおける管理対象非機密情報 (CUI) の保護」というタイトルの通り、CUI (Controlled Unclassified Information) の保護を目的として組織が実施すべきセキュリティ対策をまとめたガイドラインとなっています。
SP 800-171 を組織に適用する上では、CUI について正しく理解し、自組織に合わせて適切に読み替えることが肝要です。本筋から逸れるので詳細は割愛しますが、本記事では CUI は「組織の規程に基づき保護すべき情報と定義される情報」を指すこととします*3。
セキュリティフレームワークとセキュリティアセスメント
セキュリティ強化のために様々な対策は行っているものの、実際のところ自組織のセキュリティ対策が十分なのかよくわからない、といった悩みを持つ組織のセキュリティ担当者は少なくないと思います。セキュリティフレームワークを活用する利点の 1 つとして、セキュリティアセスメントによりフレームワークに則った管理策の実装状況をチェックしやすい点が挙げられます。わかりやすい例として、ISO/IEC 27001 に準拠できていることについて ISMS 認証という形で第三者機関のお墨付きを得る、といったイメージです。
また、セキュリティ対策状況をスコア化してくれるようなサービスやシステムもありますが、こういったサービス等には特定のセキュリティフレームワークを基にスコアを算出するような仕組みのものもあるため、フレームワークを活用することで組織のセキュリティレベルの可視化もしやすくなります。
CMMC とは
CMMC (Cybersecurity Maturity Model Certification) は、防衛産業基盤企業のサプライチェーンにおける FCI*4 と CUI の保護を目的に、米国国防総省 (DoD) が開発したセキュリティに関する認証プログラムです。CMMC は成熟度モデルの構成をとっており、ソフトウェア開発等の成熟度モデルとして確立されている CMMI (Capability Maturity Model Integration:能力成熟度モデル統合) と同様に、定義された領域に対し、基本的なサイバー予防策から高度なプラクティスまで、ベストプラクティスとプロセスが成熟度レベルにマップされています。
また、CMMC は ISMS のように、認定された第三者機関の評価を受け準拠していることが確認されると認証を取得することができます*5。
2021 年 11 月に発表された CMMC 2.0 が最新版であり、2024 年 10 月に最終化されたものが連邦官報に掲載されています*6。
CMMC モデル
CMMC では、情報の種類と機密性に応じて、段階的に高度なレベルのセキュリティ基準を導入することが求められています。
CMMC レベル
セキュリティ基準のレベルは 3 段階あり、レベルに応じたアセスメント手法が提供されます。このうち、レベル 2 が NIST SP 800-171 Rev 2 の要求事項に準拠しています*7。すなわち、CMMC レベル 2 を達成することにより SP 800-171 に定められたセキュリティ管理策が適切に実装されていることが保証されます。
![](https://cdn-ak.f.st-hatena.com/images/fotolife/m/mtkr_nfl/20241213/20241213100722.png)
CMMC ドメイン
CMMC レベル 2 における各プラクティスは、NIST SP 800-171 Rev 2 に規定されたファミリーに沿った 14 のドメインに分類されています。
略称 | ドメイン | プラクティス数 |
---|---|---|
AC | アクセス制御 | 22 |
AT | 意識向上と訓練 | 3 |
AU | 監査と説明責任 | 9 |
CM | 構成管理 | 9 |
IA | 識別と認証 | 11 |
IR | インシデント対応 | 3 |
MA | メンテナンス | 6 |
MP | 記憶媒体の保護 | 9 |
PS | 要員のセキュリティ | 2 |
PE | 物理的保護 | 6 |
RA | リスクアセスメント | 3 |
CA | セキュリティアセスメント | 4 |
SC | システムと通信の保護 | 16 |
SI | システムと情報の完全性 | 7 |
CMMC 2.0 によるセルフアセスメント
NFLabs. ではこれまでも社内のセキュリティマネジメントの構築において NIST SP 800 シリーズを参照してきました。そこで、直近の米国における情報セキュリティ制度の動向も踏まえ、CMMC を用いてセキュリティ成熟度のセルフアセスメントを実施しました。
CMMC はドキュメントが非常に充実しているので、アセスメントの実施にあたってはこれらのドキュメントを大いに活用しています。ドキュメントは英語版しかないため、アセスメントそのものと同じぐらいドキュメントの読み込みに苦労しました…
CMMC に関するドキュメントは以下より参照することができます。アセスメント実施にあたって重要なドキュメントは、レベル別に用意されている Scoping Guidance と Assessment Guide の 2 つです。
アセスメントの流れ
アセスメント全体は以下のプロセスで進めました。
![](https://cdn-ak.f.st-hatena.com/images/fotolife/m/mtkr_nfl/20241211/20241211105914.png)
目標の設定
セキュリティアセスメントは、組織のセキュリティ対策に関する現状を把握するために実施するものです。アセスメント結果を今後のビジネスや経営判断に生かすためにも、どのレベルのアウトプットを求めるか目標を定め、関係者の目線を合わせておくことが重要です。
アセスメント範囲の決定(資産リスト作成)
アセスメントの対象となる範囲と、その範囲に含まれる資産を特定します。範囲としては例えば、「組織全体」や「研究開発部」といった組織単位のものや、「教育研修サービス」といったサービス単位での切り分けも考えられるでしょう。範囲を決定したら、該当の範囲に含まれる資産を特定します。
CMMC においては、資産を 5 種類に分類します。ざっくり以下の通りですが、Scoping Guidance を読み込んで分類していくことになります。
Asset Category | Description |
---|---|
CUI Assets | CUI を処理、保存、または送信する |
Security Protection Assets | 評価範囲内にセキュリティ機能または能力を提供する |
Contractor Managed Assets | CUI を処理、保管、または送信することは可能であるが、その意図はない |
Specialized Assets | 政府資産、IoT、OT、テスト機器など(Scoping Guidanceで指定) |
Out-of-Scope Assets | CUI Assets から物理的または論理的に分離されている |
資産分類によって、その資産をアセスメント対象に含むか、またどのように評価を実施するかが変わってきます。そのため、資産の分類は非常に重要な作業です。
例えば、CUI を扱うポテンシャルを有するがその用途にない資産はよくあるアセスメントでは評価対象外として扱われがちですが、CMMC では Contractor Risk Managed Assets として評価対象資産に分類することが求められます。これにより、アセスメントにおいて想定外の資産が CUI を保持していないか評価することになるため、組織全体のリスク低減につながります。
また、CMMC は組織において価値があるすべてのものを資産と捉えている点が特徴的です。「人」や「他の組織」も資産に含まれます。セキュリティ運用を外部へ委託している場合等において、その委託先も資産の一部である、という考え方をしていると理解できます。
実際のアセスメントにおいては、日頃から資産リストを整備しておき、アセスメントプロセスの中では資産分類のみ実施できる状態となっていることが望ましいでしょう。アセスメント範囲を決める際に、この範囲に含まれる資産はどれか、というように対象となる資産を特定していきます。
アセスメント計画の策定
アセスメント範囲に含む資産を特定し分類ができたら、どの資産に対してどのような評価を実施するか計画を立てていきます。評価方法は 3 つ想定されています。
- 関連ドキュメントやシステム設定内容等の調査 (examine)
- システムの管理担当者や責任者等へのインタビュー (interview)
- アセスメント対象の実際の動きと期待した動きを比較するテスト (test)
各資産に対してどの評価方法を用いるか、複数の方法を組み合わせるのか、全部調べるか抜き取りで調べるか、といったことは自由です。アセスメントにどの程度のリソースを割くことが可能かといった組織事情に応じて柔軟に計画を立てるとよいと思います。
どのようなドキュメントを調査するか、いつ誰に対してインタビューを行うか、といった調整は他のセキュリティアセスメントと特段変わりません。
アセスメント計画は組織の規模や個々の事情によって柔軟に変更することとなるものであり、「限られた時間とリソースの中でどうやってアセスメントの効果を出すか」を考えるのはアセスメント担当者の腕の見せ所でしょう。
アセスメント実施
立てた計画に則ってアセスメントを実施します。
アセスメントでは、プラクティス毎に MET (準拠)、NOT MET (非準拠)、N/A (該当しない) のいずれかの所見を付与します。CMMC レベル 2 のアセスメントでは、 レベル 1 と レベル 2 のプラクティスについて評価を実施することになります。
レポート作成
アセスメントについての報告書を作成し、関係者に共有します。セキュリティアセスメントに特有なものでもないですが、レポートには実施したアセスメントとその結果だけではなく、目標設定や計画段階についてもまとめることが重要と考えています。
アセスメントで得られた知見
CMMC を用いたアセスメントを実施したことで、どこのドメインは要求事項によく準拠できているか、逆にどこのドメインはあまり準拠できていないか、というのが客観的に明確化されました。
少し紹介すると、NFLabs. はメンテナンス (MA) のドメインはよく準拠できています。これは業務システムが SaaS 等のクラウド中心である組織では準拠が進みやすいドメインであり、NFLabs. も多くのシステムでクラウドを利用しているため準拠できていると考えられます。
また、チームとして課題を感じている部分に関連するプラクティスが非準拠だったことで、日頃感じている課題感は誤っていないと再認識できました。
CMMC のアセスメントでは、準拠しているかどうかにおいて「ドキュメント化されているか」という判断基準が多く出てきます。ドキュメントがないことが直ちにリスクかというと必ずしもそうとは言えませんが、組織的なレジリエンス構築という意味では、ポリシー等の根底となる考え方が明文化されているかどうかは重要です。
今回のアセスメントではドキュメント化あるいは可視化されていなければ非準拠と判定してみました。その結果、普段はコンテキストで補って運用している部分が多いと認識できたことも、アセスメントで得られた成果だと考えています。
おわりに
セキュリティ対策を実装するうえでは、対策が適切に実装されているかの確認もセットで行うべきです。確認方法はサービスやシステム等を用いることもありますが、セキュリティアセスメントも一つの選択肢となり得るでしょう。
セキュリティフレームワークとアセスメントを組織で利用する際には、本記事で紹介した NIST SP 800-171 と CMMC という組み合わせを検討してみてはいかがでしょうか。
*1:Cybersecurity Framework | NIST
*2:ISMS(情報セキュリティマネジメントシステム)とは - 情報マネジメントシステム認定センター(ISMS-AC)
*3:本来の意味での CUI は米国大統領令第 13556 号で定義されています。
*4:Federal Contract Information:連邦契約情報
*5:第三者機関による認証制度は2024年12月16日より開始されました。本記事公開時点で日本には第三者評価機関はありません。
*6:Federal Register :: Cybersecurity Maturity Model Certification (CMMC) Program
*7:NIST SP 800-171 は 2024 年 5 月に発行された Rev 3 が最新版ですが、本記事公開時点の CMMC では Rev 2 を参照しています。