コラム/トピックス

サイバー管理・対策の「共通言語」がアップデート「The NIST Cybersecurity Framework 2.0」 が公開

2024.6.7

米国国立標準技術研究所(NIST)は2024年2月26日、「Framework for Improving Critical Infrastructure Cybersecurity Version1.1(以下、NIST CSF1.1)」の後継となる「The NIST Cybersecurity Framework (CSF)2.0(以下、NIST CSF2.0)」を公開した。

NIST CSF2.0は6つのコア機能(CSF Core Functions)と、それぞれの機能で求められる管理策の実施状況を4段階で評価するティア(CSF Tiers)、自社のセキュリティ対策の現状と目指す姿を評価するプロファイル(CSF Organizational Profiles)を活用することで、企業・組織が網羅的にサイバーセキュリティ対策・管理の成熟度を評価できる。

出典:The NIST Cybersecurity Framework(CSF)2.0

NIST CSF1.1までは「重要インフラ向け(for Improving Critical Infrastructure)」であったものの、多くの企業・組織で サイバーセキュリティ管理・対策を推進する際の「共通言語」として活用されてきた。NIST CSF2.0は公式に、小規模な学校や非営利団体から大規模な機関や企業に至るまで、サイバーセキュリティ対策の洗練度に関係なく、すべてのユーザー、業界、組織を対象に設計されている。

NIST CSF2.0のポイントを3点紹介する。

1点目はガバナンスとサプライチェーンセキュリティの重要性が強調された点である。NIST CSF2.0より、従前のコア機能(「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond) 」「復旧(Recover)」)に「統治(Govern)」が追加された。「統治」はセキュリティ対策を円滑に進めるための推進役として期待されており、経営陣の積極的な関与と全社的なリスクマネジメント戦略を踏まえたサイバーセキュリティ対策の検討をより明確に要求している。 また、サプライチェーン上の弱点を狙った攻撃が増加している背景を踏まえ、「統治」の機能において、サプライチェーンセキュリティに関する管理策が強化された。経営陣はサプライチェーンを含め、セキュリティリスクの状況や対策の目標を把握し、推進役としての役割が期待されている。

2点目は6つのコア機能で求められる管理策を具体的に示した「Implementation Examples」が追加された点である。これまで、コア機能を達成する上で求められる管理策は、「Informative References」として、NIST SP800-53(1)、ISO27001等の別ガイドラインの関連箇所が示され、それぞれのガイドラインを参照することで具体的な管理策の内容を確認できた。NIST CSF2.0では、従前の「Informative References」に加えて、「Implementation Examples」としてフレームワーク自体に具体的な管理策の実施例が追加され、セキュリティ対策・管理の習熟度を評価する事業者にとって、より活用しやすくなった。

3点目はNIST CSF2.0の公開と合わせて、多くの「Quick Start Guides」が公開された点である。「Quick Start Guides」は企業のリスク管理者や小規模事業者の責任者、サプライチェーンセキュリティの強化を検討している事業者向けに、それぞれの目的や課題に合わせてNIST CSF2.0を効果的に活用するための要点がまとめられた有益なガイドとなっている。その他、ティアやプロファイルの要点がまとめられたガイドも公開されているので、サイバーセキュリティ管理・対策を推進する際に参考にされたい。

NISTは、利用者からのフィードバックを踏まえながら、NIST CSF2.0をより効果的に活用するため、リソースの継続的な拡充および更新を予定している。大幅にアップデートされたサイバーセキュリティ管理・対策の「共通言語」を確認の上、継続的なサイバーセキュリティ対策の強化を進めていただきたい。

1)NISTが公開している米国政府機関が採用するセキュリティ管理策を指す。

【参考情報】
2024年2月26日 NIST
「NIST Releases Version 2.0 of Landmark Cybersecurity Framework」
https://www.nist.gov/news-events/news/2024/02~

「ESGリスクトピックス」では国内・海外の最近の重要なトピックスをお届けしています

この記事は「ESGリスクトピックス2024年度 No.1」(2024年4月発行)の掲載内容から抜粋しています。
ESGリスクトピックス全文はこちらからご覧いただけます。
https://rm-navi.com/search/item/1680

会員登録でリスクマネジメントがさらに加速

会員だけが見られるリスクの最新情報や専門家のナレッジが盛りだくさん。
もう一つ上のリスクマネジメントを目指す方の強い味方になります。

  • 関心に合った最新情報がメールで届く!

  • 専門家によるレポートをダウンロードし放題!

  • お気に入りに登録していつでも見返せる。