SP 1300とは
NIST SP 1300「CSF 2.0 Small Business Quick-Start Guide」は、2024年2月にNIST CSF 2.0と同時に公開された、中小企業向けのクイックスタートガイドです。IPAがこの文書の日本語翻訳版を公開しています。
セキュリティ専任者がいない組織でもCSF 2.0を活用できるよう、最小限のリソースで最大の効果を得るための実践的なアプローチが示されています。
対象読者
- セキュリティ専任の担当者がいない中小企業
- サイバーセキュリティの取り組みをこれから始める組織
- CSF 2.0の概要を短時間で把握したい経営者・IT担当者
実践ステップ
クイックスタートガイドでは、CSF 2.0の6つの機能(Govern / Identify / Protect / Detect / Respond / Recover)それぞれについて、中小企業が最初に取り組むべき具体的なアクションが示されています。
| 機能 | 中小企業が最初にすべきこと |
|---|---|
| 統治(Govern) | サイバーセキュリティの責任者を決める。セキュリティポリシーを策定する |
| 特定(Identify) | 重要な資産(データ、システム)を特定する。リスクを把握する |
| 防御(Protect) | MFAを有効化する。ソフトウェアを最新に保つ。従業員を教育する |
| 検知(Detect) | 異常なアクティビティを検知する仕組みを導入する |
| 対応(Respond) | インシデント対応計画を策定する。報告先を決めておく |
| 復旧(Recover) | バックアップを定期的に取得・テストする。復旧計画を策定する |
プロファイルの活用
クイックスタートガイドでは、CSFのプロファイル(現在の状態と目標の状態を整理するツール)を中小企業向けに簡略化して説明しています。自組織の現状と目標のギャップを把握し、優先度の高い対策から着手するアプローチが推奨されています。
NIST CSF 2.0本体との関係
本ガイドはCSF 2.0の入門書であり、CSF 2.0本体の代替ではありません。クイックスタートガイドで基本を理解した上で、NIST CSF 2.0の詳細を参照し、段階的に成熟度を高めていく使い方が想定されています。
まとめ
NIST SP 1300はセキュリティ専任者がいない中小企業がCSF 2.0を活用するための入門ガイドです。6機能ごとの「最初にすべきこと」から着手し、段階的にセキュリティの成熟度を高めていきましょう。