受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
| 関連項目 |
| 6-3-2、11-3、11-3-1 |
NIST サイバーセキュリティフレームワーク(CSF)2.0は、あらゆる組織がサイバーセキュリティリスクを管理するための指針であり、サイバーレジリエンス戦略に不可欠な体系を提供します。CSF 2.0は、Govern, Identify, Protect, Detect, Respond, Recoverの6つの機能で構成されます。
サイバーレジリエンス能力の核となるのは、インシデント発生後の迅速な行動と回復を支援するRespond(RS)とRecover(RC)機能です。RS機能は、インシデントの封じ込めと分析に焦点を当て、被害の拡大防止を担います。RC機能は、事業の復旧とサービス復元に焦点を当てます。
特にCSF 2.0で新設された ガバナンス(Govern, GV) 機能は、サイバーレジリエンスがIT部門の業務に留まらず、組織のミッションやリスク管理戦略に統合されるためのトップダウンの指示を確実にします。サイバーレジリエンス戦略がIT部門任せではなく、経営層の責任であることを明確に位置づけ、組織全体のリスク管理体制に組み込むことを求めています。
NIST CSF 2.0を中小企業が効果的に導入するためには、限られたリソースの中で、段階的な導入と重点領域の明確化が重要です。すべての機能を同時に整備するのではなく、自社の状況に応じて優先度を設定することが現実的です。
| CSF2.0
Tier |
段階 | NIST CSF 2.0
における主な機能 |
主な取組内容 | 目標 |
| Tier 1〜2 | 初期段階 | Identify(ID)/Protect(PR) | 情報資産の把握、アクセス権限の整理、バックアップの確保、クラウドやリモートアクセス環境の安全設定、端末管理と多要素認証の導入 | 最小限の防御体制の確立 |
| Tier 3 | 発展段階 | Detect(DE)/Respond(RS) | ログ監視やアラート体制の構築、インシデント報告と対応手順の明文化、定期的な訓練と連絡網の整備、遠隔環境を含む監視強化 | 迅速な対応体制の整備 |
| Tier 4 | 成熟段階 | Govern(GV)/Recover(RC) | 経営層の定期レビュー、復旧計画と外部連携の統合、復旧訓練の定期化と教訓の反映、KPIに基づく継続改善の仕組みづくり | 全社的レジリエンスの定着 |
中小企業では、特に Identify(資産とリスクの把握) と Protect(予防的管理策) を基盤に整備し、段階的に Respond/Recover へ拡張していくことで、過度な負担なく現実的な体制を構築できます。
Govern機能は、経営層の関与を制度化することにより、レジリエンスを「組織文化」として根付かせるものです。IT担当者は、以下のような手順で経営との連携を強化します。
● リスク評価結果やインシデント報告を、月次または四半期単位で経営層に報告する。
● 経営層は「リスク許容度」「優先順位」「投資方針」を決定し、IT部門がそれを実装計画に反映する。
● CSF機能を経営方針(Govern)に組み込み、ISMSまたは内部統制の一部として管理する。
サイバーレジリエンスの有効性を確認するために、以下のようなシンプルな指標を設定します。
● 訓練実施頻度:年2回以上のインシデント対応訓練を実施。
● 復旧時間(MTTR):主要システムの平均復旧時間を前年より短縮。
● 改善策実施率:年度内に計画した改善項目の80%以上を実施。
これらの評価は、NIST CSFの成熟度(Implementation Tiers)に対応し、継続的改善(Continuous Improvement)の成果を定量的に把握するための基礎となります。
図105. NIST CSF2.0におけるサイバーレジリエンスの中心
IPA 「The NIST Cybersecurity Framework (CSF) 2.0(2024年2月)」の翻訳版をもとに作成
| 詳細理解のため参考となる文献(参考文献) | |
| NIST Cybersecurity Framework (CSF) 2.0(2024年版) | https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf |
| 経済産業省「サイバーセキュリティ経営ガイドライン Ver.3.0」 | https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf |
| IPA「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」 | https://www.ipa.go.jp/security/guide/sme/about.html |
| JISC「JIS Q 27000:情報セキュリティマネジメントシステム-用語」 | https://kikakurui.com/q/Q27000-2019-01.html |