{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
はじめに
NIST(National Institute of Standards and Technology、米国立標準技術研究所)のサイバーセキュリティフレームワーク(以下、CSF)は、組織がサイバーセキュリティリスクを適切に管理するための手引きとなるベストプラクティスを提供しています。
2024年2月に発表されたCSF バージョン2(以下、CSF 2.0)では、バージョン1.1(以下、CSF 1.1)から重要な改定が行われました。これまで「国家や経済の重要なインフラに対するサイバーセキュリティ」を目的としていたものから、「全ての規模・全てのセクターの組織で利用される目的」にその対象を拡大しました。
今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました。以下よりダウンロードいただけます。
グローバルにビジネスを展開する組織は、最新のベストプラクティス集であるCSF 2.0でセキュリティアセスメントを実施すべきです。CSF 2.0では、セキュリティガバナンスやサプライチェーン強化に関する最新のスタンダードが網羅されており、組織のサイバーレジリエンスを高め、重大インシデントのリスクを低減することに繋がるためです。また、同業他社とのベンチマークがしやすくなるといったメリットもあります。
本稿では、CSF 1.1を使用している企業がCSF 2.0への移行を円滑に進めるための留意点を解説します。
NIST CSF 2.0の概要
フレームワーク構成の変更
CSF 2.0は、Govern(統治)【新設】、Identify(識別)、Protect(保護)、Detect(検出)、Respond(対応)、Recover(回復)の6つのコア機能によって構成されています。Govern(統治)は、CSF 2.0から新設されました。
ガバナンスの強化
新たに含まれるコア機能であるGovern(統治)は、組織のサイバーセキュリティリスク管理の取り組みをさらに強化するために導入されました。このGovernに対応するには、経営陣のリーダーシップと全社的体制作りが一層重要になります。効果的にセキュリティ対策を実施するために、トップダウンのコミットメントと部門横断的な推進体制が不可欠です。具体的な施策としては、ポリシー策定、役割分担、モニタリングなどガバナンス強化が求められます。
サプライチェーンのリスク管理項目の見直し
CSF 2.0では、サプライチェーンリスク管理の重要性が増しており、サイバーサプライチェーンリスクを反映した統合リスク管理を実行するためのポリシー・プロセスやガバナンス構造の有無がGovernコア機能の1カテゴリーとして追加されています。これによりサプライチェーン全体のリスクを適切に把握し、管理する必要性が高まります。今後、パートナー企業、クラウドベンダー、業務委託先など、サードパーティのリスクを適切にコントロールすることが不可欠になり、具体的な施策として、サードパーティのセキュリティ評価・監査、契約条件の見直し、インシデント時の連携、アクセス制限、製品セキュリティの確保など実務上の対策が必要になります。
NISTサイト上の他リソースとの関連付け、周辺文書
CSF 2.0は汎用性を維持するため、文書の抽象度は維持したまま、その他周辺文書に詳細を記載する方式になっています。下表は関連する文書の一例です。
*1 Cybersecurity White Papers
*2 Special Publication
<参照情報>https://www.nist.gov/quick-start-guidesからPwC作成(2024年3月末日現在)
差分アセスメントの重要性
CSF 1.1からCSF 2.0への主な変更点は、サプライチェーンリスク管理の強化、ガバナンスの明確化などです。CSF 2.0への適切な移行を行うことで、組織は以下のメリットが期待できます。
- 最新のベストプラクティスを用いたサイバーセキュリティ管理の最適化
- ビジネスパートナー・サプライヤーとのリスク連携の強化
- ガバナンスの明確化による経営層のコミットメント向上
- 体系的なリスク管理の実現
CSFは進化を続けており、CSF 2.0への適切な移行を行うことが、組織のサイバーレジリエンスを高め、重大インシデントのリスクを低減することに繋がります。
CSF 2.0での変更点に適切に対応するためには、CSF 1.1の枠組みからゼロベースで見直すよりも、差分を的確にアセスメントする方が効率的です。
差分アセスメントのためのアプローチ
差分アセスメントにあたっては、例えば以下のようなアプローチで、アセスメントシートを埋めながら現状と目指す姿のギャップを特定することを推奨します。
このような差分アセスメントを進めるには、現在の組織の成熟度と目指す成熟度を、以下の「ティア」の観点からで可視化することが必要です。
ティア別の実装例
CSFでは、組織のサイバーセキュリティの成熟度に応じて4つのティア(段階)が定義されています。CSF 2.0へ移行する際は、6つのコア機能における自組織の現在のティアを判断することが推奨されます。
| ティア | 解説 |
| ティア1 部分的である |
サイバーセキュリティリスク管理が部分的で不定期なプロセスになっている。CSF 2.0への移行の際に、第三者の支援を受けながら、より上のティアに移行することが望ましい |
| ティア2 リスク情報を活用している |
サイバーセキュリティリスク管理がある程度定型化されているが組織全体のポリシーになっていない。内部アセスメントを行い、ギャップを特定・対策する必要がある |
| ティア3 繰り返し適用可能である |
サイバーセキュリティリスク管理プロセスが整備されている。内部アセスメントに加え、第三者評価を受けることで、より確実な移行が可能になる |
| ティア4 適応している |
サイバーセキュリティリスク管理が最適化されている。継続的な改善プロセスが機能しており、課題を見逃さずに対応できる |
例として、6つのコア機能で各2項目ずつ取り上げます。ティア4の要件を満たすには以下のような対応が想定されます。
| 項目ID | 定義 | ティア4のあるべき姿 | 具体例 |
| GV.RM-04 | 適切なリスク対応オプションを表す戦略的方向性が確立、周知されている
|
適切なリスク対応オプションを文書化し、継続的に改善している |
|
| GV.RM-05 | サプライヤー及び他の第三者からのリスクを含め、サイバーセキュリティリスクに関するコミュニケーション系統が組織全体にわたり確立されている | サイバーセキュリティリスクに関する、自社内外のコミュニケーション経路、ポリシー、手続きなどが整備され、経営層含めて定期的にレビューしている |
|
| ID.AM-03 | 組織が認可したネットワーク通信及び内部と外部のネットワークデータフローの表明が維持されている |
策定した通信フローの制御方針に基づき接続の流れを制御しており、自社内の通信経路および伝送されるデータの経路を図に整理している。経路図は定期的に見直されている |
|
| ID.RA-01 | 資産における脆弱性が識別、検証、記録されている |
自社の情報資産における、顕在または潜在的な脆弱性を特定し、文書化している。脆弱性管理計画を作成、運用し、継続的に改善されている。脆弱性スキャンを定期的に実施している |
|
| PR.PS-05 | 未認可のソフトウェアのインストールや実行が防止されている |
不正ソフトウェアのインストールと実行をブロックするための運用手順は文書化されており、コントロールされている |
|
| PR.PS-06 | セキュアなソフトウェア開発プラクティスが統合され、ソフトウェア開発ライフサイクル全体にわたりそれらのパフォーマンスがモニタリングされている |
セキュアソフトウェア開発ライフサイクル(SDLC)が導入されている。全社的なポリシーや基準に対する法令順守や対策プロジェクトが実施されている。セキュア開発のパフォーマンス監視が実施されている |
|
| DE.AE-07 | サイバー脅威インテリジェンス及び他の文脈的情報が分析に統合されている |
サイバー脅威インテリジェンスおよびその他のインシデント関連情報を収集、関連付けをするためのシステムがあり、定期的に検証されている |
|
| DE.CM-03 | 潜在的な有害イベントを発見するよう、人員の活動や技術の使用状況がモニタリングされている |
発生する可能性のあるサイバーセキュリティイベントを検知できるように、個人の活動(ログイン履歴や操作内容など)をモニタリングしている |
|
| RS-MA-05 | インシデント復旧の開始基準が適用されている |
インシデント復旧開始基準は対応計画に従って分類され、インシデント種別や内部・外部・外部委託の区分に基づいてイベントとインシデントを十分網羅して運用されている |
|
| RS.MI-02 | インシデントが根絶されている |
インシデントを自動監視し、駆除のワークフローも確立され、継続的に改善されている |
|
| RC.RP-02 | 復旧措置が選択され、範囲が設定され、優先順位が付けられ、実施されている |
組織的なリスク情報や脅威の分析結果に基づいて、復旧アクションの範囲や優先順位が最適化され、復旧後の振返りにより継続的に改善されている |
|
| RC.CO-03 | 復旧活動及び運用能力復旧の進捗状況が、指定された内部と外部の利害関係者に周知されている | 復旧活動の体制やプロセスが確立されており、内外関係者で共有・改善されている |
|
<参照情報>NIST CSF 2.0 リファレンスツールからPwC作成
NIST CSFリソースセンターに関するガイド
NISTのCSF 2.0 Resource Centerには以下のようなリンクが用意され各種の情報にアクセスできます。
| リンク | 概要・ポイント |
| CSF 2.0 | CSF 2.0ドキュメントへの直リンク |
| Quick Start Guides | CSF 2.0の各種クイックスタートガイドへのリンク |
| Profiles | CSF 2.0組織のプロファイルテンプレートへのリンク: 組織の現在のプロファイルと目指すプロファイルを可視化するためのスプレッドシートテンプレート CSF 2.0コミュニティプロファイルへのリンク:セクター(例:金融セクター)のような特定コミュニティ向けに作られたプロファイルのサンプル |
| Informative References | 各種リファレンスドキュメントが掲載されるページ |
| Resources | その他NIST CSFに関係するリソースへのリンクが置かれる予定のページ |
| FAQs | CSF 1.1からCSF 2.0への移行に関するFAQ「Transitioning from CSF v1.1 to CSF v2.0」も含まれるFAQ集 |
| Translations | CSF 1.1やその他関連文書の翻訳版を掲載するページ |
| CSF 2.0 Tool | CSF 2.0コア機能の各項目別の定義と実装例を表示するリファレンスツールへのリンク |
<参照情報>NIST CSF 2.0リソースセンターからPwC作成
今後CSF 2.0に移行を検討するにあたっては、上記のリンクの中でも、具体例も付いているリファレンスツールや、NISTの各種ドキュメント間の参照関係(例:定義とその応用例)をレポート表示できるツールは自社のCSF 2.0への現在の対応度合いと目指すべき到達点を理解するのに役立ちます。
CSFがサイバーセキュリティ対策の戦略的なフレームワークを提供するのに対して、より技術的・戦術的な補助ドキュメントとして、以下のようなドキュメントも参考にしてください。
| ドキュメント名 | 概要 | CSFとの関連 |
| SP800-53 | 主に連邦政府機関を対象とした機密情報の保護を目的としたガイドライン | CSFより技術的・戦術的な施策を網羅 |
| SP800-171 | 主に民間企業を対象とした機密情報以外の重要情報の保護を目的としたガイドライン | |
| ISO/IEC 27001 (ISMS) | 情報セキュリティマネジメントシステム(ISMS)に関する国際規格 | ISMSは情報セキュリティが対象。CSFはサイバーセキュリティのみを対象とする |
| CIS Controls | CIS(Center for Internet Security)が策定した自社が実施すべき対策とアプローチを提示したフレームワーク | Application, Devices, Data, NetworkなどでCSF各コア機能ごとに分類された施策を網羅 |
おわりに
CSFはサイバーセキュリティリスク管理のベストプラクティスとして、今後も多くの企業・組織での導入が見込まれます。また、上場企業ではCSFによるアセスメント実施概要についてステークホルダーなどに情報開示をしている例もあり、経営レベルでもCSFの内容を理解することが求められています。
CSF 2.0を用いてセキュリティアセスメントを実施する際は、CSF 1.1との差分を的確にアセスメントする方が効率的です。最新のスタンダードで評価することにより、組織のサイバーレジリエンスを高め、重大インシデントのリスクを低減します。さらには、自社組織だけでなく、サプライヤーや第三者も含めた体系的なリスク管理を実現することができます。
NISTサイバーセキュリティフレームワークバージョン2移行のポイントと日本語訳
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
