Computer crime -Cybersecurity Framework
Computer crime
コンピューターに関する犯罪、サイバー犯罪。Information technology の進歩により、Cyber risk の Threats も Increase している。Computer crime への取り組みが注目されている。
Computer crime には4つのタイプがある。
- Computer as target
- Computer as subject
- Computer as tool
- Computer as symbol
Time-based model
Computer crime に対する Control は、
- Preventive control
- Detective control
- Corrective control
にわけられる。このうち、Preventive control に十分な Time と Resources を投入する Model が Time-based model 。それにより、Detective control と Corrective control を Timely に行うことができる。
Detective control と Corrective control にかける時間よりはやく、 Hacker が Preventive control を Circumvent してしまうとまずい。
Cyber risk assessment
Cyber risk の評価。
まず、Organization にとってもっとも Valuable な Information の Understanding をえることからはじめる。
Understanding なしには、適切に Resources を Allocate することはできない。
Cyber-incident response plan
Cyber incident への対応
- Event logging
- Severity classification
- Triage
- Removal of the threat
- Decision and action regarding event announcement or secrecy
Computer Emergency Response Team
CERT。不正アクセスなどの Computer security incident に対応している Organization 。System’s integrity への Violation に対して Corrective control を行っている。
Cybersecurity Framework
Cyberattacks から System 、Networks 、Program を Protecting する Practice が Cybersecurity。
その Cybersecurity の Framework が、そのまんま Cybersecurity Framework 。略称、CSF。NIST(米国国立標準技術研究所)が策定した。
Cybersecurity Framework の Framework basics
上述の Cybersecurity Framework 、CSF は3つの Components から構成されている。
- Framework core
- Framework implementation tier
- Framework profile
また、How to の Component もある。
- How to use framework
Framework core
2.1 すべての重要な Infrastructure sector に共通となる Cybersecurity activities 、Desired outcomes 、Applicable references をまとめている。
Framework core の Elements
- Functions
- Categories
- Subcategories
- Informative references
Functions
Identify 、Protect, 、Detect, 、Respond 、Recover からなる。
Categories
Functions の Subdivisions 。External information systems の Identify と Catalog
Subcategories
Categories がさらにわかれた。
Informative references
Standards 、Guidelines 、Practices や Specific sections
Framework implementation tier
2.2 Organization が Cybersecurity risk どのようにとらえているか。また、その Risk を Manage するための Process をあつかっている。
Cybersecurity risk への対応の進捗度によって、さらに4つの Tier(段階)にわかれる。
- Partial
- Risk Informed
- Repeatable
- Adaptive
1. Partial
部分的。
Risk management process
Cybersecurity risk management practices が Formalize されていない
Cybersecurity activities の Prioritization(優先付) が、Organizational risk objectives 、Threat environment 、Business mission requirements に基づいていない。
Integrated risk management process
Organizational level の Cybersecurity risk に対する Awareness が Limited にしか存在していない。
Organizationが、内部で Cybersecurity information を Share する Process をもちあわせていない。
External participation
Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、 どのような Role をはたすべきか Understand していない。
Other entities から受け取った Information の Collaborate をしておらず、Information の Share もしていない。
2. Risk informed
Risk information の活用
Risk management process
Cybersecurity risk management practices が Management に Approve されている。しかし、Organization 全体の Policy が Establish されていない。
Cybersecurity activities の Prioritization(優先付) が、Organizational risk objectives 、Threat environment 、Business mission requirements に基づいて、Directly に Inform されている。
Integrated risk management process
Organizational level の Cybersecurity risk に対する Awareness が存在しているが、Cyberserucity risk を Manage する Organization 全体の Approach が Establish されていない。
Cybersecurity information が Organization 内部で Informal basis で Share。
External participation
Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、どのような Role をはたすべきか、 一部 Understand している。
Other entities から受け取った Information の Collaborate をしているが、Other entities と Information の Share はしていない。
3. Repeatable
繰り返し適用可能
Risk management process
Cybersecurity risk management practices が Management に Formally に Approve されており、Organization 全体の Policy が Express。
Organization の Cybersecurity practices が、Business mission requirements の変化と Threat and technology landscape の変化への Risk management process の適用に基づいて、Regularly に Update されている。
Integrated risk management process
Cybersecurity risk を Manage する Organization 全体の Approach が Establish されている。
Risk-informed された Policies 、Processes 、Procedures が Define され、Intend どおりに Implement され Review されている。
External participation
Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、どのような Role をはたすべきか、 Understand している。
Other entities から受け取った Information の Collaborate をしており、それを Organization で Generate した Information の Complement(補完)に使い、Other entities と Information の Share をしている。
4. Adaptive
適応。
Risk management process
Organization が、過去と今の Cybersecurity activities をもとに Cybersecurity practices を Adapt してる。
Organization が、Advanced cybersecurity technologies を取り入れた Continuous improvement process 使って、変化する Threat and technology landscape に対して、Timely かつ Effective に対応している。
Integrated risk management process
Risk-informed された Policies 、Processes 、Procedures を使って、Cyberserucity risk を Manage する Organization 全体の Approach が Establish されている。
Cybersecurity risk management が Organization の Culture の一部になっている。
Organization が、Business mission objectives の変化に、Quickly にかつ Efficiently に対処できる。
External participation
Organization が、Lager ecosystem の中で、Dependencies と Dependentsについて、どのような Role をはたすべきか Understand しており、Community の Risk を広範囲に Understand することで Contribute している。
Organization は、Collaborator との Information の Share を Internally と Externally に行なっている。
Framework profile
2.3
How to use framework
3.0
Establishing Cybersecurity program
3.2
Cybersecurity program を Establishing する Activities の Order
- Risk の Identify と Prioritize
- Orient
- Current profile の Create
- Risk assessment の Conduct
- Target profile の Create
- Gaps の Determine、Analyze、Prioritize
- Action plan の Implement
Public entities と Private entities との Partnership を Require。
