新たに「ガバナンス」が追加されたNIST Cybersecurity Framework 2.0の変更点を解説

公開日：2023年10月23日
更新日：2024年4月3日

NIST Cybersecurity Framework(CSF)とは

NIST Cybersecurity Framework（CSF）とは、米国国立標準技術研究所NISTによって発行された組織のサイバーリスクを軽減するためのガイダンスです。2013年2月のオバマ政権によるサイバーセキュリティに関する大統領令(Executive Order 13636)を受けて、2014年にCSF1.0が発行されました。続く2017年5月、トランプ政権は時代とともに変化するサイバーリスクに対応するためにサイバーセキュリティ強化の大統領令(Executive Order 13800)を発令し、2018年4月にCSF1.1に改訂されました。当初は重要インフラを対象としたサイバーセキュリティを改善するフレームワークという位置づけで作成されましたが、リスク軽減策の確立において汎用的な内容となっているため、現在ではさまざまな国や組織で利用されています。
また、日本でもISMS（情報セキュリティマネジメントシステム）に次いで、多くの組織がCSFを参考にセキュリティ対策を見直していることが、トレンドマイクロによる「法人組織のセキュリティ成熟度調査」から確認されています。ISMSとCSFの両者の主な違いは、ISMSがインシデントを起こさないための事前対策がメインとなっているのに対して、CSFではサイバー攻撃を受けた際の事後対策（検知・対応・復旧）についても多く言及されている点です。防衛装備庁が2023年度から防衛産業サイバーセキュリティ基準をNIST SP800-171に基づいて整備したように、高度化するサイバー攻撃に対して侵害後の早期発見・対処の重要性が高まっていることから、CSFを参考とする組織が増加していることが考えられます。
なお、CSFの文書の日本語翻訳についてはIPA(情報処理推進機構)によって公開されています。

図：セキュリティ対策の参考にするガイドライン (n=253)
質問「次のガイドライン/フレームワーク/文書を参考に自組織のセキュリティ対策を見直していますか?」（複数回答）

CSF1.1はサイバーセキュリティにおけるリスクを組織のリスクマネジメントプロセスの一部として考慮するために、以下3つの主要なコンポーネントで構成されています。

●フレームワークコア(以下、コア)：コアは、サイバーセキュリティ対策における一連の活動とガイダンスを以下の5つの機能によって示します。
・「識別(Identify)」：サイバーセキュリティリスクを管理するために、資産や人などに対する組織の理解度を成熟させる機能
・「防御(Protect)」：組織の主要な事業の継続のために、適切なセキュリティ対策を実践する機能
・「検知(Detect)」：サイバーセキュリティイベントの発生を検知する機能
・「対応(Respond)」：検知したサイバーセキュリティインシデントに対して適切なアクションを行う機能
・「復旧(Recover)」：サイバーセキュリティインシデントによって影響を受けたサービスや事業を復旧する機能

各機能ではさらにカテゴリ、サブカテゴリに細分化されて、より具体的に、技術的もしくはマネジメントに関する成果を例示します。

●フレームワークインプリメンテーションティア(以下、ティア)：ティアは、組織のリスクマネジメントの成熟度を4段階で定性的に示します。
・ティア1（部分的に対応している）：プロセスが定型化されておらず、リスクへの対応はアドホックでリアクティブな状態
・ティア2（リスクを認識している）：リスクを認識しているが、組織全体としてそのリスクを対処するアプローチは確立していない状態
・ティア3（反復して対応している）：リスクへの対応は公式に承認されており、組織全体のポリシーとして表現されている状態
・ティア4（適応している）：過去の対応や未来への予測を通じて、リスクへの対応を継続的に最適化している状態

●フレームワークプロファイル(以下、プロファイル)：プロファイルは、組織のビジネスニーズを基に期待される成果を示します。

そして、近年高度化しているサイバー攻撃や変化する組織の環境に伴い、NISTは2024年2月26日にCSFを2.0へ改定しました。本稿ではCSF2.0の内容に関して抑えておくべき変更点について解説します。

CSF2.0における6つの主な変更点

① 広範な利用を前提としたタイトルとスコープの変更

CSFは当初大統領令に従い、連邦政府や重要インフラを対象として作成されたため、これまでのCSF1.0/1.1では「重要インフラのサイバーセキュリティを改善するためのフレームワーク」というタイトルでした。一方で、CSF2.0では「サイバーセキュリティフレームワーク」にタイトルが変更されています。また、内容についても、これまでアメリカの重要インフラを対象とする語り口でしたが、全ての組織かつ世界中で活用できる形式に変更されています。これは現行のCSF1.1においても既に多くの組織がサイバーセキュリティのガイダンスとして参考としていることから、今後よりデファクトスタンダードとして世界中で広く認識されることを目的とした変更だと考えられます。

② 新たなフレームワークやガイダンスへの関連付け

CSF2.0では新たに以下のフレームワークやガイダンスを参考情報として関連付けが行われています。

昨今のサイバー攻撃は巧妙化しており、攻撃者は新たな技術や複雑化する環境を悪用して、組織や企業に対して攻撃を試みます。CSF2.0ではサプライチェーンやソフトウェア開発、AIに関するリスクマネジメントフレームワークなどが参考情報として追加されていることから、最新の脅威や環境の変化に対応したリスクマネジメントを実現するために、CSFを進化させていることが見て取れます。

③ CSF実装のためのガイダンスの追加

CSFのコアにおける各カテゴリ/サブカテゴリが示す成果を達成するために、アクション志向のサンプルが追加されます。CSF2.0では組織のアクションプランを作成するテンプレートを提供することで、より実践的にCSFを推進することができます。これは、対象を重要インフラからあらゆる組織に変更したことで、より広範に適用しやすいガイダンスとすることを目的としていることが考えられます。

④ コアに「ガバナンス」を追加

CSF1.1ではコアは「識別(Identify)」、「防御(Protect)」、「検知(Detect)」、「対応(Respond)」、「復旧(Recover)」という5つの機能によって構成されていましたが、CSF2.0では「ガバナンス(Govern)」が追加されました。今回新たに追加されたガバナンスは、NISTによれば「ガバナンス(Govern)」については、「サイバーセキュリティリスクマネジメントの戦略や期待、ポリシーが確立、伝達、監視されているか」を意味しています。ガバナンスは、CSFに記載されている図が示す通り、これまでの5つの機能とは違い、車輪のような位置づけとなっており、各機能の成果に対して、事業戦略に基づく優先順位付けをサポートするものです。つまり、組織のサイバーセキュリティに関するガバナンスが適切に機能することで各機能の成熟度の底上げに繋がるということを示す、フレームワークの根幹を担う機能となっています。

図：CSF2.0へのコア(機能)追加に伴うカテゴリの追加
（NIST, 2024, The NIST Cybersecurity Framework 2.0を元に編集）

⑤ サプライチェーンリスクマネジメントの強調

新たに追加されるガバナンスにはサプライチェーンリスクマネジメントが包括されています。現代の多くの組織は事業の効率化のために、複雑且つ広範囲に及ぶグローバル規模のサプライチェーンエコシステムを構築し、さまざまな階層においてアウトソースを活用しています。そのため、サイバーセキュリティにおけるサプライチェーンリスクマネジメントはその重要性が増しています。CSF2.0ではそうした背景を鑑みて、組織のサプライチェーンリスクマネジメントを改善するための方針を「システムと組織のためのサイバーセキュリティサプライチェーンリスクマネジメントプラクティス(NIST SP 800-161)」をもとに示しています。

トレンドマイクロにおける2022年の「サイバーセキュリティに関する調査」でも、国内の43.3％の組織が過去にサプライチェーンに攻撃を受けた経験があると回答していることからも、サプライチェーンリスクマネジメントは事業継続において欠かすことのできない取り組みであるといえます。

図：サプライチェーン（委託先、グループ会社、グループ拠点）へのサイバー攻撃を過去に受けたことがあるか (n=300)

⑥ 評価、測定方法の明確化

CSF2.0では、ティアを「サイバーセキュリティリスクガバナンス」、「サイバーセキュリティリスクマネジメント」に評価対象を分類することで、組織全体におけるリスクマネジメントの成熟度を測定できる形式としています。また、識別機能における実装カテゴリなど、全体を通して継続的な改善の重要性を強調しています。これは、脅威や組織の環境は常に変化し続けるという前提のもと、リスクマネジメントの取り組みは一過性の活動ではなく、継続的な評価・改善がセキュリティ戦略を最適化することに繋がることを示しています。

まとめ

CSF2.0においては主に6つの変更点がありますが、そのなかでも最も重要かつ組織において認識しておくべきポイントが「ガバナンス」機能の追加です。組織においてはガバナンスと一言でいっても、コーポレートガバナンスやデータガバナンスなど、対象が異なるさまざまな種類のガバナンスが存在しています。そのなかでも、CSF2.0はサイバーセキュリティに関するガバナンスに焦点を当てて、その重要性を認識させるために、新たな機能の中核としてガバナンスを追加しました。
また、日本では経済産業省が策定したシステム管理基準のなかで、ITガバナンスはステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり、取締役会や経営幹部が実行責任と説明責任を負うと定義されています。そのため、上層部のセキュリティに対する意識や関与が重要ですが、過去のトレンドマイクロの調査では、日本においては取締役会のセキュリティへの積極性がそれほど高くないと感じている組織が多い結果となっています。ガバナンスが未成熟な組織では、事業目標と合致していないセキュリティポリシーや各種プロシージャの不備、不十分なトレーニングなど、組織全体のセキュリティ文化が非効率なものとなります。このことから、組織のセキュリティリーダーはサイバーセキュリティの重要性を上層部に認識してもらうために、最新の脅威やそのリスクがもたらす事業への影響、そしてリスクを軽減するためのソリューションの価値提案を継続的に行う必要があります。