サイバー管理・対策の「共通言語」がアップデート「The NIST Cybersecurity Framework 2.0」 が公開

NIST CSF2.0のポイントを3点紹介する。

1点目はガバナンスとサプライチェーンセキュリティの重要性が強調された点である。NIST CSF2.0より、従前のコア機能（「識別（Identify）」「防御（Protect）」「検知（Detect）」「対応（Respond） 」「復旧（Recover）」）に「統治（Govern）」が追加された。「統治」はセキュリティ対策を円滑に進めるための推進役として期待されており、経営陣の積極的な関与と全社的なリスクマネジメント戦略を踏まえたサイバーセキュリティ対策の検討をより明確に要求している。 また、サプライチェーン上の弱点を狙った攻撃が増加している背景を踏まえ、「統治」の機能において、サプライチェーンセキュリティに関する管理策が強化された。経営陣はサプライチェーンを含め、セキュリティリスクの状況や対策の目標を把握し、推進役としての役割が期待されている。

2点目は6つのコア機能で求められる管理策を具体的に示した「Implementation Examples」が追加された点である。これまで、コア機能を達成する上で求められる管理策は、「Informative References」として、NIST SP800-53^（1）、ISO27001等の別ガイドラインの関連箇所が示され、それぞれのガイドラインを参照することで具体的な管理策の内容を確認できた。NIST CSF2.0では、従前の「Informative References」に加えて、「Implementation Examples」としてフレームワーク自体に具体的な管理策の実施例が追加され、セキュリティ対策・管理の習熟度を評価する事業者にとって、より活用しやすくなった。

3点目はNIST CSF2.0の公開と合わせて、多くの「Quick Start Guides」が公開された点である。「Quick Start Guides」は企業のリスク管理者や小規模事業者の責任者、サプライチェーンセキュリティの強化を検討している事業者向けに、それぞれの目的や課題に合わせてNIST CSF2.0を効果的に活用するための要点がまとめられた有益なガイドとなっている。その他、ティアやプロファイルの要点がまとめられたガイドも公開されているので、サイバーセキュリティ管理・対策を推進する際に参考にされたい。

NISTは、利用者からのフィードバックを踏まえながら、NIST CSF2.0をより効果的に活用するため、リソースの継続的な拡充および更新を予定している。大幅にアップデートされたサイバーセキュリティ管理・対策の「共通言語」を確認の上、継続的なサイバーセキュリティ対策の強化を進めていただきたい。

1）NISTが公開している米国政府機関が採用するセキュリティ管理策を指す。

【参考情報】
2024年2月26日 NIST
「NIST Releases Version 2.0 of Landmark Cybersecurity Framework」
https://www.nist.gov/news-events/news/2024/02~