Blue Planet-works|Blog

押さえておきたい!「NIST CSF2.0」

セキュリティ

 

本コラムでは、2024年2月に大幅な改訂が行われたNIST CSF(米国立標準技術研究所:通称ニスト サイバーセキュリティフレームワーク)についてご紹介しています。

 

「NIST CSF」とは?

NIST CSF(米国立標準技術研究所、通称:ニスト サイバーセキュリティフレームワーク)はサイバー攻撃から組織を守るための基本的考え方の全体像を示すフレームワークです。その特徴は、サイバー攻撃を未然に防ぐための対策だけではなく、組織内への侵入を許し有事が発生してしまう事を想定した事後の対策までを網羅した管理・対応策の一覧が示されているところにあります。その対策指標の網羅性の高さから、日本の「サイバーセキュリティ経営ガイドライン」をはじめとした多くのセキュリティガイドラインがこのフレームワークを参照して作られており、サイバーセキュリティ対策の重要な指標となっています。

 

「NIST CSF」は2.0になって何が変わった?

「NIST CSF」は2013年に米国のオバマ大統領が「重要インフラのサイバーセキュリティを強化するための大統領令(13636号)」を発令したことを受け、2014年にNISTから初版であるCSF1.0が発行されました。
その後2018年にCSF1.1へ改訂された後、2024年2月26日にCSF2.0として大幅改訂が行われました。
今回は改訂ポイントから2つを切り取りご紹介します。

■改正POINT① フレームワークを構成する対策一覧に新機能「GV(統治)」が追加される。

「NIST CSF」を知るうえでまず理解しておくべき項目が「Core(コア)」と呼ばれるフレームワークを構成する機能群です。この機能群はCSF1.1までは、「Identify(特定)」「Protect(防御)」「Detect(検知)」「Respond(対応)」「Recover(回復)」の5つで構成されていました。今回の改訂ではこの5つにプラスして「Govern(統治)」が6つ目の機能として追加される形となりました。この変更には、DX化の推進、モノのIoT化、テレワークの増加などITを取り巻く環境の劇的な変化と、ランサムウェアやサプライチェーン攻撃といった組織の存続自体を揺がるしかねない悪質なサイバー攻撃の台頭といった世の中の変化が反映されているものと思われます。 「Govern(統治)」はサイバー攻撃を企業の経営リスクとして、財務など他の項目と同等に扱い、会社経営の戦略としてどのような目標を設定し対策していくべきかを示しています。

フレームワークを構成する対策一覧(Core)

 

またこの「Govern(統治)」という機能は、従来までの5つの機能の中心にまるで車軸のように描かれていることも特徴です。サイバーセキュリティのフレームワークを機能させるためには、セキュリティ戦略とその方針が自組織全体で確立され、周知され、監督し、評価改善することが大切であり、「統治」こそが全てのセキュリティ戦略の礎であることを示した書き方と言えるでしょう。

「Core」の機能一覧とその説明

 

■改正POINT② フレームワークの適用範囲が中小企業を含むあらゆる組織へ拡大される

前述のように、 オバマ大統領の「重要インフラのサイバーセキュリティを強化するための大統領令(13636号)」から作成された「NIST CSF」は、本来国の重要インフラ事業者を対象とした国家安全保障を目的に作成されたフレームワークです。
今回の改訂では適用範囲が「サイバーセキュリティ戦略の熟練度に関わらず、あらゆる規模や業種をサポートするために設計され、サイバーセキュリティの専門知識の有無にかかわらず、経営幹部、管理職、実務者を含む幅広い対象者を対象」と記載され、重要インフラに特化した文面が削除されていることが特徴となっています。
サイバー攻撃による経営リスクは、国の重要インフラ事業者や大企業のみならず、ビジネスサプライチェーンで繋がる全ての組織に同様に存在するのもであり、この変更にもITを取り巻く世の中の変化が反映されたものと読み取れます。

「NIST CSF2.0」を活用してセキュリティ戦略を立ててみる!

「NIST CSF2.0」は組織のセキュリティ戦略を考えるうえで基本的な取り組みが非常に良くまとめられた資料です。まずはサイバーセキュリティを経営課題として捉えるための第一歩として「NIST CSF2.0」を手に取り、自組織なりの対策を考えてみてはいかがでしょうか?

「NIST CSF」におけるAppGuardの立ち位置

「AppGuard」はCSFの機能の「防御と検知」を担うエンドポイントセキュリティ製品です。攻撃成立に不可欠な「特定の事象」を命令レベルで検知し、ルールに基づいて適切な制御をすることで、脅威の発症を「防止」することを目的としています。強固な防御策が実施された組織は、フレームワークにおける後工程の負荷を大幅に軽減することが出来きます。

 

株式会社Blue Planet-works



ページトップに戻る