「システムズエンジニアリング」の視点で整理NISTの「サイバーレジリエンス」14カ条に書かれていること

セキュリティ対策を進める上で重要になるのが、侵入後の対処に焦点を当てた「サイバーレジリエンス」の強化だ。本稿では、NISTが明らかにした14種類のサイバーレジリエンス手法を紹介する。

[Judith Myerson，TechTarget]

　攻撃者に侵入されても、早期に検知・対処してIT環境を復元する「サイバーレジリエンス」には、さまざまな手法がある。本稿では、システムの実現成功に向けたアプローチや手段である「システムズエンジニアリング」（Systems Engineering）を通じたサイバーレジリエンスの強化策として、米国立標準技術研究所（NIST）が特定した14種類の手法を説明する。

　2018年初頭、NISTは標的型攻撃への組織的対策の支援を目的とした、システムエンジニアリングフレームワークを提供するガイドラインのドラフト（草案）を公開した。「Special Publication 800-160 Volume 2（Systems Security Engineering: Cyber Resiliency Considerations for the Engineering of Trustworthy Secure Systems）」というこのガイドラインは、サイバーレジリエンスを実現するために利用できる。

併せて読みたいお薦め記事

NISTのセキュリティガイドライン

• NISTの「Cybersecurity Framework」でクラウドのセキュリティを強化する方法
• NISTの「IoTセキュリティガイドライン」には何が書かれているのか

注目すべきセキュリティ動向は

• IoT機器の不要なポート開放が攻撃成功の要因に　NRIセキュアが分析
• 高額な身代金を要求する標的型ランサムウェアが増加　ソフォスの2019年予測

NISTが示すイバーレジリエンス手法

　NISTはこのガイドラインの中で、14種類のサイバーレジリエンス手法と、サイバーレジリエンスを構築するための多数のアプローチを紹介している。そのサイバーレジリエンス手法は、システムズエンジニアリング標準の「ISO/IEC 15288」が示すテクニカルプロセス（システムのライフサイクルに関する活動プロセス）に基づく。NISTが示す14種類のサイバーレジリエンス手法は、以下の通りだ。