NISTサイバーセキュリティフレームワークバージョン2移行のポイントと日本語訳

  • 2024-04-26

はじめに

NIST(National Institute of Standards and Technology、米国立標準技術研究所)のサイバーセキュリティフレームワーク(以下、CSF)は、組織がサイバーセキュリティリスクを適切に管理するための手引きとなるベストプラクティスを提供しています。

2024年2月に発表されたCSF バージョン2(以下、CSF 2.0)では、バージョン1.1(以下、CSF 1.1)から重要な改定が行われました。これまで「国家や経済の重要なインフラに対するサイバーセキュリティ」を目的としていたものから、「全ての規模・全てのセクターの組織で利用される目的」にその対象を拡大しました。

今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました。以下よりダウンロードいただけます。

グローバルにビジネスを展開する組織は、最新のベストプラクティス集であるCSF 2.0でセキュリティアセスメントを実施すべきです。CSF 2.0では、セキュリティガバナンスやサプライチェーン強化に関する最新のスタンダードが網羅されており、組織のサイバーレジリエンスを高め、重大インシデントのリスクを低減することに繋がるためです。また、同業他社とのベンチマークがしやすくなるといったメリットもあります。

本稿では、CSF 1.1を使用している企業がCSF 2.0への移行を円滑に進めるための留意点を解説します。

差分アセスメントの重要性

CSF 1.1からCSF 2.0への主な変更点は、サプライチェーンリスク管理の強化、ガバナンスの明確化などです。CSF 2.0への適切な移行を行うことで、組織は以下のメリットが期待できます。

  • 最新のベストプラクティスを用いたサイバーセキュリティ管理の最適化
  • ビジネスパートナー・サプライヤーとのリスク連携の強化
  • ガバナンスの明確化による経営層のコミットメント向上
  • 体系的なリスク管理の実現

CSFは進化を続けており、CSF 2.0への適切な移行を行うことが、組織のサイバーレジリエンスを高め、重大インシデントのリスクを低減することに繋がります。

CSF 2.0での変更点に適切に対応するためには、CSF 1.1の枠組みからゼロベースで見直すよりも、差分を的確にアセスメントする方が効率的です。

差分アセスメントのためのアプローチ

差分アセスメントにあたっては、例えば以下のようなアプローチで、アセスメントシートを埋めながら現状と目指す姿のギャップを特定することを推奨します。

図表2 差分アセスメントのアプローチ

このような差分アセスメントを進めるには、現在の組織の成熟度と目指す成熟度を、以下の「ティア」の観点からで可視化することが必要です。

ティア別の実装例

CSFでは、組織のサイバーセキュリティの成熟度に応じて4つのティア(段階)が定義されています。CSF 2.0へ移行する際は、6つのコア機能における自組織の現在のティアを判断することが推奨されます。

ティア 解説
ティア1
部分的である
サイバーセキュリティリスク管理が部分的で不定期なプロセスになっている。CSF 2.0への移行の際に、第三者の支援を受けながら、より上のティアに移行することが望ましい
ティア2
リスク情報を活用している
サイバーセキュリティリスク管理がある程度定型化されているが組織全体のポリシーになっていない。内部アセスメントを行い、ギャップを特定・対策する必要がある
ティア3
繰り返し適用可能である
サイバーセキュリティリスク管理プロセスが整備されている。内部アセスメントに加え、第三者評価を受けることで、より確実な移行が可能になる
ティア4
適応している
サイバーセキュリティリスク管理が最適化されている。継続的な改善プロセスが機能しており、課題を見逃さずに対応できる

例として、6つのコア機能で各2項目ずつ取り上げます。ティア4の要件を満たすには以下のような対応が想定されます。

項目ID 定義 ティア4のあるべき姿 具体例
GV.RM-04

適切なリスク対応オプションを表す戦略的方向性が確立、周知されている

 

 

適切なリスク対応オプションを文書化し、継続的に改善している
  • リスク対応オプション(リスク回避、低減、受容、移転など)が機密レベル別に規程などで整備され、全組織に適用されている
  • 経営層がサイバーセキュリティリスクを経営リスクとして認識し、組織のリスク耐性を考慮しながらセキュリティ予算を検討している
  • サイバー保険などのリスク対応オプションがある
GV.RM-05 サプライヤー及び他の第三者からのリスクを含め、サイバーセキュリティリスクに関するコミュニケーション系統が組織全体にわたり確立されている サイバーセキュリティリスクに関する、自社内外のコミュニケーション経路、ポリシー、手続きなどが整備され、経営層含めて定期的にレビューしている
  • 組織内外関係者とのコミュニケーション、組織体制、職務管掌などを文書化している。内外関係者のルール遵守状況を定期的に確認している。サイバーセキュリティリスク管理を継続して進化させることが組織文化として浸透している
ID.AM-03 組織が認可したネットワーク通信及び内部と外部のネットワークデータフローの表明が維持されている
策定した通信フローの制御方針に基づき接続の流れを制御しており、自社内の通信経路および伝送されるデータの経路を図に整理している。経路図は定期的に見直されている
  • 自社内のネットワーク構築およびデータフローを作成、管理するポリシーや手続き、標準ルールが準備され、定期的にレビューがされている
  • ベースライン、復旧手順が策定され、定期的に検証されている
ID.RA-01 資産における脆弱性が識別、検証、記録されている
自社の情報資産における、顕在または潜在的な脆弱性を特定し、文書化している。脆弱性管理計画を作成、運用し、継続的に改善されている。脆弱性スキャンを定期的に実施している
  • 脆弱性管理手順が記載されている規程類・マニュアルを策定している。それらは定期的に検証・改善されている
  • 脆弱性情報の収集に関わるルールの策定と運用している。ルールは定期的に検証・改善されている
PR.PS-05 未認可のソフトウェアのインストールや実行が防止されている
不正ソフトウェアのインストールと実行をブロックするための運用手順は文書化されており、コントロールされている
  • 組織で承認されたソフトウェアのみインストールできるようになっている。先端の技術を常に検証し、環境を継続的に改善している
  • 規程・ルールで利用可能なソフトウェアおよびサービスが規定され、定期的に見直されている
PR.PS-06 セキュアなソフトウェア開発プラクティスが統合され、ソフトウェア開発ライフサイクル全体にわたりそれらのパフォーマンスがモニタリングされている
セキュアソフトウェア開発ライフサイクル(SDLC)が導入されている。全社的なポリシーや基準に対する法令順守や対策プロジェクトが実施されている。セキュア開発のパフォーマンス監視が実施されている
  • セキュアSDLCに関わる規程・ルールで改ざんや不正アクセスを防止するルールやプロセスが定められ、運用されている。それらは定期的に検証・改善されている。常に先端の技術を検証し、運用を高度化している内部監査で定期的にセキュアSLDCの状況が監査されている
DE.AE-07 サイバー脅威インテリジェンス及び他の文脈的情報が分析に統合されている
サイバー脅威インテリジェンスおよびその他のインシデント関連情報を収集、関連付けをするためのシステムがあり、定期的に検証されている
  • サプライヤーから脆弱性情報を迅速に受け取って対処している
  • 各種の収集情報を脅威分析に生かす仕組みを整えている。プロセスは定期的に検証・改善されている
DE.CM-03 潜在的な有害イベントを発見するよう、人員の活動や技術の使用状況がモニタリングされている
発生する可能性のあるサイバーセキュリティイベントを検知できるように、個人の活動(ログイン履歴や操作内容など)をモニタリングしている
  • 不適切なソフトウェアやデバイスの接続を検知するための端末制御を行っている
  • 異常な振る舞いを検知できるようにツールを導入し、継続的に運用している
RS-MA-05 インシデント復旧の開始基準が適用されている
インシデント復旧開始基準は対応計画に従って分類され、インシデント種別や内部・外部・外部委託の区分に基づいてイベントとインシデントを十分網羅して運用されている
  • インシデント復旧計画を定めた規程があり、復旧開始基準も定義され、基準に沿って運用されている。それらは定期的に検証・改善されている
RS.MI-02 インシデントが根絶されている
インシデントを自動監視し、駆除のワークフローも確立され、継続的に改善されている
  • インシデント検知の際に自動防御・遮断・隔離するツールを持っており適切に構成・更新されている。構成は定期的に検証・改善されている
  • 駆除のワークフローが文書化され運用されている。ワークフローは定期的・検証され改善されている
RC.RP-02 復旧措置が選択され、範囲が設定され、優先順位が付けられ、実施されている
組織的なリスク情報や脅威の分析結果に基づいて、復旧アクションの範囲や優先順位が最適化され、復旧後の振返りにより継続的に改善されている
  • 障害対応および復旧プロセスが定められた規程を策定している。規程は定期的・検証され改善されている
  • 上記規程の社内周知、教育、定期的振り返りを実施している
RC.CO-03 復旧活動及び運用能力復旧の進捗状況が、指定された内部と外部の利害関係者に周知されている 復旧活動の体制やプロセスが確立されており、内外関係者で共有・改善されている
  • インシデントの復旧計画の中で内外関係者へのコミュニケーションが定義され運用されている。フローは定期的に検証・改善されている

<参照情報>NIST CSF 2.0 リファレンスツールからPwC作成

おわりに

CSFはサイバーセキュリティリスク管理のベストプラクティスとして、今後も多くの企業・組織での導入が見込まれます。また、上場企業ではCSFによるアセスメント実施概要についてステークホルダーなどに情報開示をしている例もあり、経営レベルでもCSFの内容を理解することが求められています。

CSF 2.0を用いてセキュリティアセスメントを実施する際は、CSF 1.1との差分を的確にアセスメントする方が効率的です。最新のスタンダードで評価することにより、組織のサイバーレジリエンスを高め、重大インシデントのリスクを低減します。さらには、自社組織だけでなく、サプライヤーや第三者も含めた体系的なリスク管理を実現することができます。

NISTサイバーセキュリティフレームワークバージョン2移行のポイントと日本語訳

執筆者

丸山 満彦

パートナー, PwCコンサルティング合同会社

Email

上杉 謙二

ディレクター, PwCコンサルティング合同会社

Email

海老原 直樹

ディレクター, PwC Japan有限責任監査法人

Email

山崎 潤一

マネージャー, PwCコンサルティング合同会社

Email

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

本ページに関するお問い合わせ