No.047 CSF （Cyber Security Framework）

　Identiy→Protect→Detect→Respond→Recover

継続は力なりという事で毎日アップデートしたいのですが、ネタ切れになってきました。Noteは自分のOutputのために書いてますが、書くからには学びにつなげたいです。
　何か新しく学びたいなと思ってますが、なんとなくサイバーセキュリティについて詳しくなるとカッコいいなと思いました。毎日サイバーセキュリティのことを考えていたらひょっとしたら専門家の端くれぐらいの知識はみにつけられるかもしれません。ということでNISTについて浅く調べてみました。

こちらを参考にしました。

NISTってなんだ！｜セキュリティ初心者の勉強部屋｜サムライズ (samuraiz.co.jp)
セキュリティ関連NIST文書：IPA 独立行政法人 情報処理推進機構
NIST サイバーセキュリティフレームワーク（CSF)とは？解説と対策 (manageengine.jp)

NIST：アメリカ国立標準技術研究所（アメリカこくりつひょうじゅんぎじゅつけんきゅうじょ、National Institute of Standards and Technology, NIST）は、アメリカ合衆国の国立の計量標準研究所であり、アメリカ合衆国商務省配下の技術部門であり非監督（non-regulatory ）機関である。Wikpedia参照

読んでて思ったのは、欧米はやっぱりフレームワークづくり、
ルール作りが上手だなというところ。

CSF（Cyber Security Framework）としては以下の２つの構成になっているようです。
識別（Identify）、防御（Protect）、検知（Detect）、対応（Respond）、復旧（Recover）の5つの機能

そして、米国国防総省は同省と契約する業者に対して、NIST サイバーセキュリティフレームワーク（CSF）の下位概念であるNIST SP 800-171への準拠を求めているようです。多分セキュリティ意識も高いのはその通りですが、規格化、ルール化、標準化することによって経済の発展にもつなげているように思います。

話は飛びますが、サイバーセキュリティは企業にとって大きな問題になってきますね。とある記事によると保険会社CNAはハッカーに対して43億円超を支払ったそうです。

アメリカ人は、人質を取られても身代金を払わないイメージがありますが、下記のようなケースがあるのはちょっと驚きました。
保険会社ＣＮＡがハッカーに43億円超支払い、サイバー攻撃後－関係者 - Bloomberg

また、コロニアル・パイプライン事件でも身代金が払われているようですね。経営判断としては、業務停止に伴う経済的損失と身代金を比較して、身代金の方が安かったから払ったんでしょうね。そう考えると合理的なアメリカ人は結構身代金を支払うのかもしれません。
コロニアル・パイプライン事件他で米国サイバーセキュリティは激変予感 (tokiomarine-nichido.co.jp)

　あと上記記事にはRansomwear as a Service (RAAS)の事が書かれていて興味深く感じました。結局サイバーセキュリティで引っかかる企業数や、引っかかっても身代金を払う件数は少ないので、数をばらまくしかないですが、工数的に自信では対応できないので、ランサムウェアをばらまく方法を販売して手数料を取るというビジネスになりつつあるようです。それにより、至る所に存在する半ぐれ集団が、手順にそってサイバー攻撃を仕掛ける仕組み。
　結構恐ろしいですね。日本はオレオレ詐欺等の詐欺被害が増えてきましたが、今後サイバー攻撃も広がってくるのは間違いないような気がします。

以上です。今後ネタに困ったらサイバーセキュリティを勉強します。