部分的なセキュリティ対策では意味がない？　NIST CSFで考察する網羅性の価値

　セキュリティ対策は非常に幅広く、かつ深いものであり、部分的なコントロールに注力するだけでは大きな意味を成さない。包括的にどのような対策が必要なのか、実効性のある仕組みが実装されているのかをチェックする必要がある。こうしたセキュリティ運用の抜け漏れを検証する上で有効なのがNIST CSF（米国国立標準技術研究所のサイバーセキュリティフレームワーク）だ。

　NIST CSFでは「Tier」と「Core」という2つの軸で実効性を検証している。Tierは対策状況の成熟度を把握するためのもので、4段階の評価基準がある。一方、Coreはセキュリティ機能を識別・防御・検知・対応・復旧の5つに分類しており、それぞれにあるサブカテゴリーを通して対策の抜け漏れをチェックすることが可能となる。

　セキュリティ対策で求められる“広さ”と“深さ”は個々の環境や予算で変化するが、優先したいのは「運用ライフサイクルの網羅性」、つまり“広さ”である。本Webキャストでは、その理由についてさらに詳しく解説しているので、自社の取り組みをチェックする上でも参考にしてほしい。