受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
CSFの概要およびISMSとの関係性について説明します。CSFの最新版は、2.0です。CSF2.0は、中小企業を含むあらゆる組織で利用されるよう設計されています。
CSF2.0はISMSを補完し、組織のセキュリティ対策を強化するための有用なツールとなります。ISMSを補完する形で、ISMSをベースに必要に応じてCSFを取り込むことが重要です。
| CSF2.0とは |
| CSF2.0は、あらゆる組織がサイバーセキュリティリスクを管理する際の指針を提供するものです。CSF2.0は、どのような組織でもサイバーセキュリティへの取組をより深く理解し、評価し、優先順位をつけ、各方面に周知するために利用できます。CSF2.0の実施方法は画一的ではなく、組織ごとに異なります。各組織には共通のリスクと固有のリスクの両方があり、また、組織によってリスク選好度やリスク許容度、具体的なミッション、ミッションを達成するための目的もさまざまであるためです。CSF2.0をしっかりと理解し、自組織に適した形で実施することが重要です。 |
CSFは、組織がセキュリティ対策を継続的に改善するため、①コア(サイバーセキュリティ対策の一覧)、②ティア(対策状況を数値化するための成熟度評価基準)、③プロファイル(サイバーセキュリティ対策の現状とあるべき姿を記述するためのフレームワーク)の3つの要素で構成されています。
| 「コア」の概要 |
| コアとは、一定の分類で定められたセキュリティ管理策の一覧のことです。
コアは、「識別」「防御」「検知」「対応」「復旧」「ガバナンス」の6つの機能に分類されます。 各機能の下には複数のカテゴリが存在し、各カテゴリはそれぞれ複数のサブカテゴリを有します。 |
| 「ティア」の概要 |
| 組織におけるサイバーセキュリティガバナンスと管理の成熟度を評価するための階層(tier)です。
指標階層は4段階あり、次の通りです。 ⚫︎ ティア1:実施しているが、まだ部分的/基本的なレベル ⚫︎ ティア2:ある程度定型化されているがポリシーにはなっていない ⚫︎ ティア3:ポリシーとして確立しており、繰り返し適用可能なレベル ⚫︎ ティア4:サイバーセキュリティリスク管理が組織文化の一部となっている |
| 「プロファイル」の概要 |
| フレームワークのカテゴリおよびサブカテゴリに基づき、サイバーセキュリティリスクに対する期待される効果を現すものです。
サイバーセキュリティリスクへの対応状況として、「あるべき姿」と「現在の姿」をまとめたものです。「あるべき姿」の策定については、組織のビジネス上の要求、リスク許容度、割当可能なリソースに基づき、コアの機能、カテゴリ、サブカテゴリの到達地点を調整します。 |
| 詳細理解のため参考となる文献(参考文献) | |
| The NIST Cybersecurity Framework(CSF)2.0 | https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf |
コアとは、業種・業態や企業規模に依存しない共通のサイバーセキュリティ対策の一覧を定義したものです。「ガバナンス」「識別」「防御」「検知」「対応」「復旧」の6つの機能に分類されます。
ガバナンス機能は、他の5つの機能(識別、防御、検知、対応、復旧)の目標達成や組織内の優先順位づけをするためのものと定義され、CSF2.0の中心的機能と位置づけられています。
各機能の下には複数のカテゴリが存在し、合計22個あります。また、各カテゴリにはそれぞれ複数のサブカテゴリが存在しており、サブカテゴリは合計で106個あります。
図37. CSF2.0のコア
(出典)「The NIST Cybersecurity Framework(CSF)2.0」をもとに作成
| 機能 | 説明 | カテゴリ |
| ガバナンス | 組織におけるサイバーセキュリティリスクマネジメントの戦略、期待事項、およびポリシーを確立し、周知し、モニタリングする。 | ⚫︎ 組織的文脈
⚫︎ リスクマネジメント戦略 ⚫︎ 役割/責任/権限 ⚫︎ ポリシー ⚫︎ 監督 ⚫︎ サイバーセキュリティサプライチェーンリスクマネジメント |
| 識別 | 組織の資産(情報システム、人、データ・情報など)、組織を取り巻く環境、重要な機能を支えるリソース、関連するサイバーセキュリティリスクを特定し理解を深める。 | ⚫︎ 資産管理
⚫︎ リスクアセスメント ⚫︎ 改善 |
| 防御 | 重要サービスの提供が確実に行われるよう適切な保護対策を検討し実施する。 | ⚫︎ アイデンティティ管理とアクセス制御
⚫︎ 意識向上およびトレーニング ⚫︎ データセキュリティ ⚫︎ プラットフォームセキュリティ ⚫︎ 技術インフラのレジリエンス |
| 検知 | サイバーセキュリティイベントの発生を検知するための適切な対策を検討し実施する。 | ⚫︎ 継続的モニタリング
⚫︎ 有害イベントの分析 |
| 対応 | サイバーセキュリティインシデントに対処するための適切な対策を検討し実施する。 | ⚫︎ インシデントマネジメント
⚫︎ インシデント分析 ⚫︎ インシデント対応の報告とコミュニケーション ⚫︎ インシデント軽減 |
| 復旧 | サイバーセキュリティインシデントにより影響を受けた機能やサービスをインシデント発生前の状態に戻すための適切な対策を検討し実施する。これには、レジリエンスを実現するための計画の策定・維持も含む。 | ⚫︎ インシデント復旧計画の実行
⚫︎ インシデント復旧のコミュニケーション |
「ガバナンス」機能のサブカテゴリ(例)
| カテゴリ | サブカテゴリ |
| 組織的文脈 | GV.OC-01:組織のミッションが理解され、サイバーセキュリティリスクマネジメントについて伝えている。 |
| GV.OC-02:内部と外部の利害関係者が理解され、サイバーセキュリティリスクマネジメントに関するそれら利害関係者のニーズと期待事項が理解および考慮されている。 | |
| GV.OC-03:サイバーセキュリティに関する法的要求事項、規制上の要求事項、および契約上の要求事項(プライバシーと市民的自由の義務を含む)が理解され管理されている。 | |
| GV.OC-04:外部の利害関係者が組織に依存または期待する重要な目的、能力およびサービスが理解され周知されている。 | |
| GV.OC-05:組織が依存する成果、能力、およびサービスが理解され周知されている。 |
ティアとは、組織におけるサイバーセキュリティリスクへの対応状況を評価する際の指標を定義したものです。指標は以下の4段階があります。各ティアの定義は、組織に応じて柔軟にアレンジすることが可能です(以下の表は一例です)。また、必ずしもすべてのカテゴリにおいて最高レベル(ティア4)を目指す必要はありません。ビジネス特性や情報資産の実態などに応じて、カテゴリごとに目指すべきティアを設定しましょう。
| ティア1:実施しているが、まだ部分的/基本的なレベル
セキュリティ対策は経験に基づいて実施される。セキュリティ対策は組織として整備されていなく場当たり的に実施されている。 |
| ティア2:ある程度定型化されているがポリシーにはなっていない
セキュリティ対策はセキュリティリスクを考慮して実施されているが、組織として方針や標準が定められてはいない、あるいは非公式に存在する。 |
| ティア3:ポリシーとして確立しており、繰り返し適用可能なレベル
セキュリティ対策は組織の方針・標準として定義、周知されており、脅威や技術の変化に伴い方針・標準は定期的に更新される。 |
| ティア4:サイバーセキュリティリスク管理が組織文化の一部となっている
組織で標準化されたセキュリティ対策は、脅威や技術の変化、組織における過去の教訓やセキュリティ対策に関するメトリックスなどを参考に、継続的かつタイムリーに調整される。 |
サイバーセキュリティリスクへの対応状況を評価する例
識別:セキュリティ対策が必要なリソースを明確にする
| ティア1 | ティア2 | ティア3 | ティア4 | |
| 資産管理
事業目的を達成することを可能にするデータ、人員、デバイス、システム、施設が特定され管理されていますか? |
防御:ルールを策定し、セキュリティリスクをコントロールする
| ティア1 | ティア2 | ティア3 | ティア4 | |
| 意識向上およびトレーニング
サイバーセキュリティ意識向上教育とトレーニングが実施されていますか? |
検知:事故の発生を即時に把握するための仕組みをつくる
| ティア1 | ティア2 | ティア3 | ティア4 | |
| 異常とイベント
異常な活動は検知されており、異常がもたらす潜在的な影響を把握していますか? |
対応:事故に対する対策を用意する
| ティア1 | ティア2 | ティア3 | ティア4 | |
| 対応計画の策定
検知したセキュリティ事故に対応できるように対応プロセスおよび手順が準備されていますか? |
復旧:システムを正常な状態に戻すための必要なタスクを明確にする
| ティア1 | ティア2 | ティア3 | ティア4 | |
| 復旧計画の作成
セキュリティ事故による影響を受けたシステムや資産を復旧できる復旧プロセスおよび手順となっていますか? |
プロファイルとは、機能・カテゴリ・サブカテゴリについて、組織ごとに考慮すべき点を踏まえて調整し、整理したものです。組織はプロファイルを用いることにより、サイバーセキュリティ対策の現在の状態(現在の姿)と、目標の状態(あるべき姿)を明らかにすることができます。そして「現在の姿」と「あるべき姿」を比較することによって、サイバーセキュリティマネジメント上の目標を達成する上で、解消が必要なギャップを知ることができます。
「あるべき姿」の策定については、組織のビジネス上の要求、リスク許容度、割当可能なリソースに基づき、コアの機能、カテゴリ、サブカテゴリの到達地点を調整します。
図38. プロファイルの活用イメージ
(出典)デジタル庁「政府情報システムにおけるサイバーセキュリティフレームワーク導入に関する技術レポート」をもとに作成
令和6年2月26日、NISTサイバーセキュリティフレームワークが1.1から2.0に改訂されました。CSF2.0の主な特徴は、以下の通りです。
フレームワークの適用範囲の拡大
CSF 2.0は、組織の規模や業種に関係なく、中小企業を含むあらゆる組織で利用されるよう再設計されました。以前のCSF 1.0,1.1は、重要インフラ(病院、発電所など)の安全保障を目的に策定されたものでした。
新たな機能「ガバナンス」の追加
CSF2.0では、コアの5つの機能(特定・防御・検知・対応・復旧)に、「ガバナンス」が新たに追加されました。
ガバナンスは、5つの機能の中心に位置づけられています。ガバナンスは、組織のミッションと利害関係者の期待に沿って、他の5つの機能の成果の達成と優先順位をつけるための方法を示します。
フレームワーク活用のためのコンテンツ強化
CSFの実装を支援するためのさまざまな参考情報が、NISTのWebサイトに公開されました。
● クイック・スタート・ガイド(Quick-Start Guide)
中小企業などの特定のニーズに対応した専用のガイダンスを提供しています。
| 文書名 | 利用方法 |
| Small Business Quick-Start Guide | 中小企業、特にサイバーセキュリティ計画があまり整っていないまたは全くない企業が、CSF2.0を使用してサイバーセキュリティリスク管理戦略を開始するためのポイントを理解するために利用できます。 |
| A Guide to Creating Community Profiles | フレームワークを実装するために、コミュニティプロファイルの作成と使用に関する考慮事項を理解するために利用できます。コミュニティプロファイルとは、多数の組織間で共有される、サイバーセキュリティリスクを低減するための関心、目標、成果を記述したものです。 |
| Quick-Start Guide for Creating and Using Organizational Profiles | CSF 2.0を実装するための現状および目標プロファイルの作成と使用に関する考慮事項を理解するために利用できます。 |
| Quick-Start Guide for Using the CSF Tiers | CSF 2.0のティアをプロファイルに適用し、自身のサイバーセキュリティリスクのガバナンスおよび管理成果の厳密さを特徴付けるために利用できます。 |
| Quick-Start Guide for Cybersecurity Supply Chain Risk Management(C-SCRM) | サイバーセキュリティサプライチェーンリスク管理(C-SCRM)の概要と、C-SCRMがCSFとどのように関連しているのか理解するために利用できます。
C-SCRMの機能を実装する組織は、このガイドに加えて、参照されている追加文書も併せて確認することが推奨されます。 |
| Enterprise Risk Management Quick-Start Guide | エンタープライズリスクマネジメントの実務者が、組織のサイバーセキュリティリスクマネジメントを改善するために、CSF2.0で提供される成果の活用方法を理解するために利用できます。 |
● 参考情報(Informative References)
参考情報を利用することにより、目標達成に役立つ他のガイドラインやリソースを知ることができます。
● 実装例(Implementation Examples)
実装例を利用することにより、特定のサブカテゴリをどのように実装するかのベストプラクティス(最良の方法)を知ることができます。
● NIST Cybersecurity Framework(CSF)0 Reference Tool
NIST CSF 2.0リファレンスツールを利用すると、ユーザーはCSF 2.0コア(機能、カテゴリ、サブカテゴリ、実装例)を探索できます。このツールは、人間と機械が読み取り可能な形式(JSONおよびExcel)でコアを提供します。さらに、ユーザーは主要な検索用語を使用してコアの一部を表示し、エクスポートすることが可能です。これにより、ユーザーは自分のニーズに合わせて情報を探しやすくなります。
サプライチェーンリスクマネジメントの強化
CSF2.0では、新機能「ガバナンス」の下に新しいカテゴリ(GV.SC:サイバーセキュリティサプライチェーンリスクマネジメント)が設けられました。GV.SCカテゴリの下には10個のサブカテゴリが定義され、CSF1.1に比べてサプライチェーンのリスク管理に必要な対策が増加しました。
| 詳細理解のため参考となる文献(参考文献) | |
| Small Business Quick-Start Guide | https://doi.org/10.6028/NIST.SP.1300 |
| A Guide to Creating Community Profiles | https://doi.org/10.6028/NIST.CSWP.32.ipd |
| Quick-Start Guide for Creating and Using Organizational Profiles | https://doi.org/10.6028/NIST.SP.1301 |
| Quick-Start Guide for Using the CSF Tiers | https://doi.org/10.6028/NIST.SP.1302.ipd |
| Quick-Start Guide for Cybersecurity Supply Chain Risk Management(C-SCRM) | https://doi.org/10.6028/NIST.SP.1305.ipd |
| Enterprise Risk Management Quick-Start Guide | https://doi.org/10.6028/NIST.SP.1303.ipd |
| CSF 2.0 Informative References | https://www.nist.gov/informative-references |
| CSF 2.0 Implementation Examples | https://www.nist.gov/document/csf-20-implementations-pdf |
| NIST Cybersecurity Framework(CSF)2.0 Reference Tool | https://csrc.nist.gov/Projects/Cybersecurity-Framework/Filters#/csf/filters |
CSFは、NISTが定義するサイバーセキュリティ対策アプローチの中で最も上位に位置づけられており、セキュリティ管理手法の概念や管理方針・体制の整備など包括的な内容が記載されています。CSFの下位概念に位置づけられているのが、NIST SP 800シリーズです。実施すべきタスクと手順、推奨技術の特定など、セキュリティ管理の手法について具体的に明記されています。
図39. CSFとSP800シリーズの関係
NIST SP 800シリーズの中から、ガイドラインの一部を紹介します。
| NIST SP 800-53 |
| 米国政府内の情報システムをより安全なものにし、効果的にリスク管理するためのガイドラインのことです。対象は連邦政府機関で、政府の機密情報(CI:Classified information)の保護を目的としています。 |
| NIST SP 800-171 |
| NIST SP 800-53から民間企業・組織向けに要件を抽出したものです。サプライチェーンに存在する、業務委託先や関連企業のすべてが準拠すべきセキュリティ基準を示しています。対象は、多くの民間企業・組織で、政府の機密情報以外の重要情報(CUI:Controlled Unclassified Information)の保護を目的としています。 |
| NIST SP 800-161 |
| 調達から販売・供給までの一連のサプライチェーンに起因するさまざまなリスクに対して、組織として対応するためのガイドラインです。業務委託先や関連企業におけるセキュリティ対策を目的としています。 |
NIST SP 800-53とNIST SP 800-171は、以下のように保護する情報と対策を行う組織が異なりますが、どちらも密接に関連しているため2つ同時に参照する必要があります。
図40. NIST SP 800-53とNIST SP 800-171の関係
| CSFとISMSの主な共通点 |
| 汎用性が高い
ISMSとCSFは、汎用性が高く、あらゆる組織で使用することができます。まずはISMSをベースにして情報セキュリティ対策を行い、必要に応じてCSFの内容を取り入れるとよいでしょう。 |
| サイバーセキュリティ対策方法
ISMSとCSFはどちらも「識別」「防御」「検知」「対応」「復旧」といったサイバーセキュリティ対策を挙げています。 |
| 任意性がある
ISMSとCSFはどちらも、提示しているすべてのセキュリティ対策を取り入れることは求めていないため、何を取り入れるかはそれぞれの組織で決定可能です。 |
| CSFとISMSの主な相違点 |
| 第三者認証制度の有無
ISMSには、第三者機関による認証制度(適合性評価制度)が存在します。これに対して、CSFにはそのような認証制度はありません。そのため、情報セキュリティ対策を行っていることを顧客や取引先に対して客観的に示すためには、ISMSを構築して認証を受けることが有効です。 |
| 目標への到達手段
ISMSは、PDCAサイクルをまわすことにより、情報セキュリティマネジメント体制を構築する一方、CSFでは特にPDCAサイクルをまわすといった記載はありません。CSFの「プロファイル」では、現在の状況と理想の状況とのギャップを明確にすることにより、取るべき対応策の優先順位を決めて、それにしたがって実施していくことになります。 |