常時リスク診断・対処（CRSA）

日々巧妙化しているサイバー攻撃に対応していくには政府組織内におけるサイバーセキュリティ対策をより高度化していく必要があります。米国政府では、サイバーセキュリティ対策を高度化するにあたり、CDM（Continuous Diagnostics and Mitigation）プログラムの導入が進んでいます。日本政府においても、米国のCDMプログラムを参考に、常時リスク診断・対処（CRSA: Continuous Risk Scoring and Action）システム（以下、「CRSA システム」という。）の導入を進めています。

概要

CRSAとは

CRSAとは、組織のセキュリティポリシー等に準拠するために情報システムに導入された必要なコントロール（管理策）に関して、以下を実施します。

• リスク診断：必要なコントロールと実際の状態とのギャップやリスクを可視化
• 対処：可視化されたギャップやリスクの是正対応
• 常時：ギャップやリスクの可視化と是正対応を継続的に実施

CRSAの概念図

CRSAシステムとは

• CRSAの概念に基づき、組織のネットワークとシステムのサイバーセキュリティを強化するための仕組みを提供します。
• 組織の資産に関する情報を収集し、資産の構成及びソフトウェアコンポーネントに更新を適用するといった潜在的リスクの是正活動を支援します。
• 情報システムの運用等において、セキュリティポリシー等からの逸脱を発見し、適時適切に対処することや監査活動を自動化することなどを目指して、リソースへの接続要求を行う資産に関する情報（※）などを包括的に監理します。
  ※例えば、端末で適切なパッチが適用済みのオペレーティングシステムが実行されているか、組織が承認したソフトウェアコンポーネントの完全性が保たれているか、承認されていないコンポーネントが存在していないか、資産に既知の脆弱性がないか等が挙げられます。
• 将来的にはゼロトラストアーキテクチャにおけるポリシーエンジンにそれらの情報を提供する役割を担っていきます。

CRSAシステムの概要図

CRSAシステム導入の目的と効果

1. 政府機関統一基準等に準拠したコントロール（管理策）からの逸脱の迅速な把握と是正対応

CRSAシステムは、サイバーセキュリティ対策に必要なコントロールの実施状況を継続的にモニタリングできるため、どこが不適切な状態になっているかを迅速に把握し、是正対応を実施できます。

2. インシデント発生時のトリアージ等の効果的な対応

CRSAシステムは、リアルタイムに自組織の資産状況、脆弱性対応状況等を把握できるため、インシデント発生時の資産等への影響規模や対応の優先度について迅速に判断できるようになります。

3. リアルタイムデータによるセキュリティ対策実施状況の効率的な報告

CRSAシステムを導入した組織は、リアルタイムな資産状態、アカウントの利用状況、インシデントの発生状況などを把握できます。これにより、サイバーセキュリティ対策状況を客観的かつ効率的に報告できるようになります。政府全体としては、各組織のサイバーセキュリティ対策状況を各組織に負担をかけることなく効率的に把握できるようになります。

4. 脅威やインシデントに対する政府横断的な脆弱箇所の迅速な発見と是正対応

CRSAシステムは、特定の脅威情報やインシデントに関する情報をもとに、影響のある箇所やインシデントの発生する可能性のある箇所を政府横断的に特定できるため、迅速かつ効果的に対処できるようになります。

5. ゼロトラストアーキテクチャの運用環境を適切に維持

ゼロトラストアーキテクチャの具体的な実装・運用においては、ネットワーク上の各デバイスでの脆弱性対応状況等を把握することにより、システム全体の健全性を把握し、維持していく必要があります。CRSAシステムにおける診断結果は、ゼロトラストアーキテクチャにおけるポリシーエンジンのインプット情報としても活用していきます。

• 参考資料：常時リスク診断・対処（CRSA）（PDF／711KB）

最近の取組

令和4年度 政府情報システム常時診断・対応型セキュリティアーキテクチャの先行省庁による実装の調査研究

政府全体で常時診断・対応型のセキュリティアーキテクチャの実装を行うため、CRSAシステムを先行省庁に導入し、効果等を検証しました。

会議等

• 第1回次世代セキュリティアーキテクチャ検討会（令和4年2月24日開催）
• 第2回次世代セキュリティアーキテクチャ検討会（令和4年3月15日開催）

参考資料

• 2020年度成果報告書　Connected　Industries推進のための協調領域データ共有・AIシステム開発促進事業/米国におけるCDM（Continuous　Diagnostic　and　Mitigation：継続的な診断とリスクの緩和）についての基礎調査（2020年度NEDO事業 報告書管理番号：20220000000503）
• 2021年度成果報告書　Connected　Industries推進のための協調領域データ共有・AIシステム開発促進事業/米国政府のCDM　Programを参考にした常時診断システムの実現性調査（2021年度NEDO事業　報告書管理番号：20210000000194）
• デジタル社会推進標準ガイドライン　DS-211 常時リスク診断・対処（CRSA）アーキテクチャ
• Continuous Diagnostics and Mitigation (CDM) Program（CISA）
• Continuous Diagnostics and Mitigation (CDM) Training（CISA）