Computer crime -Cybersecurity Framework

Computer crime

コンピューターに関する犯罪、サイバー犯罪。Information technology の進歩により、Cyber risk の Threats も Increase している。Computer crime への取り組みが注目されている。

Computer crime には4つのタイプがある。

  • Computer as target
  • Computer as subject
  • Computer as tool
  • Computer as symbol

Time-based model

Computer crime に対する Control は、

  • Preventive control
  • Detective control
  • Corrective control

にわけられる。このうち、Preventive control に十分な Time と Resources を投入する Model が Time-based modelそれにより、Detective control と Corrective control を Timely に行うことができる。

Detective control と Corrective control にかける時間よりはやく、 Hacker が Preventive control を Circumvent してしまうとまずい。

Cyber risk assessment

Cyber risk の評価。

まず、Organization にとってもっとも Valuable な Information の Understanding をえることからはじめる。

Understanding なしには、適切に Resources を Allocate することはできない。

Cyber-incident response plan

Cyber incident への対応

  • Event logging
  • Severity classification
  • Triage
  • Removal of the threat
  • Decision and action regarding event announcement or secrecy

Computer Emergency Response Team

CERT。不正アクセスなどの Computer security incident に対応している Organization 。System’s integrity への Violation に対して Corrective control を行っている。

Cybersecurity Framework

Cyberattacks から System 、Networks 、Program を Protecting する Practice が Cybersecurity。

その Cybersecurity の Framework が、そのまんま Cybersecurity Framework 。略称、CSF。NIST(米国国立標準技術研究所)が策定した。

Cybersecurity Framework の Framework basics

上述の Cybersecurity Framework 、CSF は3つの Components から構成されている。

  • Framework core
  • Framework implementation tier
  • Framework profile

また、How to の Component もある。

  • How to use framework

Framework core

2.1 すべての重要な Infrastructure sector に共通となる Cybersecurity activities 、Desired outcomes 、Applicable references をまとめている。

Framework core の Elements

  • Functions
  • Categories
  • Subcategories
  • Informative references

Functions

Identify 、Protect, 、Detect, 、Respond 、Recover からなる。

Categories

Functions の Subdivisions 。External information systems の Identify と Catalog

Subcategories

Categories がさらにわかれた。

Informative references

Standards 、Guidelines 、Practices や Specific sections

Framework implementation tier

2.2 Organization が Cybersecurity risk どのようにとらえているか。また、その Risk を Manage するための Process をあつかっている。

Cybersecurity risk への対応の進捗度によって、さらに4つの Tier(段階)にわかれる。

  1. Partial
  2. Risk Informed
  3. Repeatable
  4. Adaptive

1. Partial

部分的。

Risk management process

Cybersecurity risk management practices が Formalize されていない

Cybersecurity activities の Prioritization(優先付) が、Organizational risk objectives 、Threat environment 、Business mission requirements に基づいていない。

Integrated risk management process

Organizational level の Cybersecurity risk に対する Awareness が Limited にしか存在していない。

Organizationが、内部で Cybersecurity information を Share する Process をもちあわせていない。

External participation

Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、 どのような Role をはたすべきか Understand していない。

Other entities から受け取った Information の Collaborate をしておらず、Information の Share もしていない。 

2. Risk informed

Risk information の活用

Risk management process

Cybersecurity risk management practices が Management に Approve されている。しかし、Organization 全体の Policy が Establish されていない。

Cybersecurity activities の Prioritization(優先付) が、Organizational risk objectives 、Threat environment 、Business mission requirements に基づいて、Directly に Inform されている。

Integrated risk management process

Organizational level の Cybersecurity risk に対する Awareness が存在しているが、Cyberserucity risk を Manage する Organization 全体の Approach が Establish されていない。

Cybersecurity information が Organization 内部で Informal basis で Share。

External participation

Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、どのような Role をはたすべきか、 一部 Understand している。

Other entities から受け取った Information の Collaborate をしているが、Other entities と Information の Share はしていない。 

3. Repeatable

繰り返し適用可能

Risk management process

Cybersecurity risk management practices が Management に Formally に Approve されており、Organization 全体の Policy が Express。

Organization の Cybersecurity practices が、Business mission requirements の変化と Threat and technology landscape の変化への Risk management process の適用に基づいて、Regularly に Update されている。

Integrated risk management process

Cybersecurity risk を Manage する Organization 全体の Approach が Establish されている。

Risk-informed された Policies 、Processes 、Procedures が Define され、Intend どおりに Implement され Review されている。

External participation

Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、どのような Role をはたすべきか、 Understand している。

Other entities から受け取った Information の Collaborate をしており、それを Organization で Generate した Information の Complement(補完)に使い、Other entities と Information の Share をしている。 

4. Adaptive

適応。

Risk management process

Organization が、過去と今の Cybersecurity activities をもとに Cybersecurity practices を Adapt してる。

Organization が、Advanced cybersecurity technologies を取り入れた Continuous improvement process 使って、変化する Threat and technology landscape に対して、Timely かつ Effective に対応している。

Integrated risk management process

Risk-informed された Policies 、Processes 、Procedures を使って、Cyberserucity risk を Manage する Organization 全体の Approach が Establish されている。

Cybersecurity risk management が Organization の Culture の一部になっている。

Organization が、Business mission objectives の変化に、Quickly にかつ Efficiently に対処できる。

External participation

Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、どのような Role をはたすべきか Understand しており、Community の Risk を広範囲に Understand することで Contribute している。

Organization は、Collaborator との Information の Share を Internally と Externally に行なっている。

Framework profile

2.3

How to use framework

3.0

Establishing Cybersecurity program

3.2

Cybersecurity program を Establishing する Activities の Order

  • Risk の Identify と Prioritize 
  • Orient
  • Current profile の Create
  • Risk assessment の Conduct
  • Target profile の Create
  • Gaps の Determine、Analyze、Prioritize
  • Action plan の Implement
Public entities と Private entities との Partnership を Require。