　2014年2月12日、NISTがリリースした「重要インフラのサイバーセキュリティを向上させるためのフレームワーク（NISTサイバーセキュリティフレームワーク）1.0版」（関連情報、PDFファイル）は、米国だけでなく、欧州連合（EU）の「ネットワーク・情報システムのセキュリティに関する指令（NIS指令）」や日本の「サイバーセキュリティ戦略」など、世界各国・地域のサイバーセキュリティ政策に影響を与えてきた。

　本連載第26回で取り上げたように、米国内で、重要インフラを構成する医療／公衆衛生分野向けに、医薬品、医療機器、デジタルヘルスなどの製品・サービスを提供する事業者は、NISTサイバーセキュリティフレームワークにおけるエコシステムのステークホルダーと位置付けられている。

　NISTは、2015年12月11日、サイバーセキュリティフレームワーク1.0版に関する意見を求める情報提供依頼書（RFI：Request for Information）（関連情報）を発出して改訂作業に着手し、2017年1月10日に1.1版第1草案（関連情報）、同年12月5日に1.1版第2草案を公表した（関連情報）。そして、2018年4月16日、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク1.1版」が正式にリリースされた（関連情報）。

　1.0版から1.1版にアップデートされても、フレームワークの基本的概念や方向性は同じであり、以下の3つの要素から構成される。

フレームワーク・コア：組織がサイバーセキュリティリスクを管理するために必要とされる枠組の構造を示す
フレームワーク・インプレメンテーション・ティア：組織がサイバーセキュリティリスクを管理する方法を示す
フレームワーク・プロファイル：組織固有のビジネス要件、リスク許容度、割当可能なリソースに基づいて調整された機能、カテゴリー、サブカテゴリーを示す

　図1は、このうち「フレームワーク・コア」の構造を示したものである。機能（Function）は、「特定（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond）」「復旧（Recover）」から構成される。そして、個々の機能は、サイバーセキュリティ成果グループ別に細分化した「カテゴリー（Category）」、カテゴリーを技術的な対策や管理面での対策がもたらす成果別に詳細化した「サブカテゴリー（Subcategory）」、全ての重要インフラ分野に共通となる標準、ガイドライン、ベストプラクティスをまとめたセクションで、各サブカテゴリーについて期待される成果を達成するための方法を示す「参考情報（Informative References）」から構成される。

図1　フレームワーク・コアの構造（クリックで拡大）出典：National Institute of Standards and Technology「Framework for Improving Critical Infrastructure Cybersecurity Version 1.1」（2018年4月16日）

　他方、「フレームワーク・インプレメンテーション・ティア」は、「ティア1：部分的である（Partial）」「ティア2：リスク情報を活用している（Risk Informed）」「ティア3：繰り返し適用可能である（Repeatable）」「ティア4：適応している（Adaptive）」の4階層から構成される。

　「フレームワーク・プロファイル」は、サイバーセキュリティ対策の現在の状態（現在のプロファイル）と目指す目標の状態（目標のプロファイル）を記述するのに使用する。これらのプロファイルを比較することによって、サイバーセキュリティリスク管理上の目標を果たすために対処する必要があるギャップを明確化し、そのギャップを埋めるための行動計画を策定するのに役立てることが可能となる。

サイバーセキュリティにおける製品と企業のギャップを埋めることが課題

　　　　　　 1|2|3 次のページへ