OWASP Cyber Defense Matrixの図
OWASPのDocumentation ProjectにCyber Defense Matrixというのがあり、以下の図を提唱している。
横軸の5つのカテゴリ「IDENTIFY,PROTECT,DETECT,RESPOND,RECOVER」はNISTのNIST Cybersecurity Frameworkに定義されている5つの機能と同等。
NIST Cybersecurity Frameworkは、こちらを参考にしました。
その横軸に対して、縦軸に5つ(DEVICES,APPLICATIONS,NETWORKS,DATA,USERS)の守るべき資産を定義したものが、Cyber Defense Matrix。
似たようなものに、OWASP Threat and Safeguard Matrix (TaSM)というものがある。
こちらは、横軸はNIST Cybersecurity Frameworkに定義されている5つの機能と同じ。縦軸に、脅威を設定している。
Cyber Defense Matrixと比較して、具体的な脅威に対しての施策という位置づけのように感じる。
Cyber Defense Matrixをどう使うか
使い方として、以下が挙げられている。
- Mapping of vendors
- Mapping of NIST NICE NCWF skillsets
- Mapping of measurements and metrics
- Security design patterns
具体的例は、以下のサイトのリンクなどが分かりやすい
OWASP Cyber Defense Matrix | OWASP Foundation
例えば、どこに、どんな対策を適用させるというのが分かりやすく表現できる。
PowerPoint Presentation (awscloud.com)から。
セキュリティ製品から見ると、カオスですが、その目的などを提示するにはCyber Defense Matrixは一つの方法かと思いました。
https://momentumcyber.com/docs/CYBERscape.pdf
例えば、EDRを導入する際、「Device」に対する「Detect」「Respond」が「People」に依存していたものを「Technology」に代替することでよりセキュアにできる、という説明もしやすいのかと思います。
https://www.ithome.com.tw/news/140095 から引用
まとめ
NIST Cybersecurity Frameworkは、IPAから翻訳が出ていますが、なかなか理解ができない。
そんな考えをベースに、使いやすいフレームワークに落とし込まれたCyber Defense Matrixは有益だと思います。