NIST CSFとは
NIST CSF(Cybersecurity Framework)は、米国国立標準技術研究所(NIST)が策定したサイバーセキュリティリスク管理のための包括的なフレームワークです。2014年に初版が公開され、2024年2月に約10年ぶりの大幅改訂となるCSF 2.0がリリースされました。
当初は米国の重要インフラ向けでしたが、CSF 2.0ではタイトルから「重要インフラ」の文言が削除され、規模や業種を問わずあらゆる組織で活用できるフレームワークとして位置づけられています。日本でも経産省の「サイバーセキュリティ経営ガイドライン」やIPAの各種ガイドラインがCSFを参照しています。
CSF 2.0の改訂ポイント
| 変更点 | 内容 |
|---|---|
| Govern(統治)機能の追加 | 6つ目のコア機能として「統治」を新設。経営層のサイバーセキュリティへの関与・責任を明確化 |
| 適用範囲の拡大 | タイトルを「重要インフラの〜」から「サイバーセキュリティフレームワーク」に変更。全組織対象 |
| サプライチェーンリスク管理の強化 | Govern機能配下にC-SCRM(サイバーセキュリティサプライチェーンリスク管理)カテゴリを新設 |
| ERMとの統合 | サイバーセキュリティリスクを企業リスク管理(ERM)の一部として統合することを推奨 |
| 参考情報の更新 | NIST SP 800-218(SSDF)、CIS Controls v8.1等への参照を追加 |
6つのコア機能
| 機能 | ID | 概要 | 主なカテゴリ |
|---|---|---|---|
| 統治(Govern) | GV | 組織のサイバーセキュリティ戦略・方針・ガバナンスを確立 | 組織のコンテキスト、リスク管理戦略、役割と責任、C-SCRM |
| 特定(Identify) | ID | サイバーセキュリティリスクを管理するために資産・リスクを把握 | 資産管理、リスクアセスメント、改善 |
| 防御(Protect) | PR | 適切なセキュリティ対策を実装し、サービスの提供を確保 | ID管理・アクセス制御、意識向上・教育、データセキュリティ、プラットフォームセキュリティ |
| 検知(Detect) | DE | サイバーセキュリティイベントの発生を検知 | 継続的モニタリング、異常イベント分析 |
| 対応(Respond) | RS | 検知したインシデントに対して適切なアクションを実行 | インシデント管理、分析、報告、軽減 |
| 復旧(Recover) | RC | インシデントにより影響を受けたサービスを復旧 | 復旧計画の実行、コミュニケーション |
Govern(統治)は他の5機能の中心に位置し、「他の5機能をどのように実施するか」を決定する機能です。サイバーセキュリティを技術部門だけの問題ではなく、経営層が主導するERMの一部として位置づけることがCSF 2.0の核心です。
4つのティア(成熟度)
| ティア | 名称 | 概要 |
|---|---|---|
| Tier 1 | 部分的(Partial) | リスク管理がアドホックで、組織的なプロセスが未整備 |
| Tier 2 | リスク認識(Risk Informed) | リスクを認識しているが、組織全体のアプローチは未確立 |
| Tier 3 | 反復可能(Repeatable) | 組織全体でリスク管理プロセスが定義・実施されている |
| Tier 4 | 適応的(Adaptive) | 脅威環境の変化に応じてリスク管理プロセスを継続的に改善 |
プロファイル
プロファイルは、組織の「現在の状態(Current Profile)」と「目標とする状態(Target Profile)」を6つのコア機能で整理したものです。両者のギャップが優先的に取り組むべき改善項目となり、セキュリティ投資の根拠として経営層に説明できます。
ISMSとの違い
| 項目 | NIST CSF 2.0 | ISMS(ISO 27001:2022) |
|---|---|---|
| 性質 | フレームワーク(指針) | 認証規格(要求事項) |
| 認証 | 認証制度なし | 第三者認証あり |
| 重点 | 検知・対応・復旧(事後対策)も重視 | 予防的管理策が中心 |
| ガバナンス | Govern機能で経営統合を明示 | 箇条5でリーダーシップを要求 |
| 活用方法 | 自己評価・改善の指針として | 認証取得・維持として |
ISMSとCSFは補完関係にあり、ISMS認証で管理体制を証明し、CSFで成熟度を自己評価・改善する併用が効果的です。
NIST SP 800-53との関係
CSFは「何を達成すべきか」を示す上位フレームワークであり、SP 800-53は「具体的に何を実装すべきか」を示す管理策カタログです。CSFの各サブカテゴリからSP 800-53の管理策への参照(マッピング)がNISTのリファレンスツールで提供されています。
まとめ
NIST CSF 2.0は「統治・特定・防御・検知・対応・復旧」の6機能でサイバーセキュリティリスク管理を体系化するフレームワークです。Govern機能の追加により、サイバーセキュリティが経営責任であることが明確になりました。ISMSと併用し、プロファイルによる自己評価で継続的な改善を進めましょう。