NIST CSF2.0への対応に必要な具体的な施策とは?実施上のポイントを解説

ITシステムを日常的に活用する現代のビジネス環境において、サイバー攻撃への対策は必ず取り組むべき経営課題の1つとなっています。サイバーセキュリティの標準フレームワークとして広く活用されているものが「The NIST Cybersecurity Framework(CSF)2.0」です。

本記事では、NIST CSF2.0への対応が求められる理由やNIST CSF2.0の基本構成、コア機能と求められる施策についてわかりやすく解説しています。NIST CSF2.0対応の実施上のポイントもあわせて紹介していますので、ぜひ参考にしてください。

NIST CSF2.0とは

そもそもNIST CSF2.0とは何を指しているのでしょうか。NIST CSF2.0の基本的な定義や対応が求められている理由、基本構成について解説します。

アメリカ国立標準技術研究所が策定したフレームワーク

The NIST Cybersecurity Framework(CSF)2.0とは、サイバーセキュリティの標準として広く活用されているフレームワークです。NIST(アメリカ国立標準技術研究所)が策定し、公開されています。

IT業界においては、NISTが公開するドキュメントが技術標準の1つとして参照されてきました。主なドキュメントの種類としてFIPS(連邦情報処理標準)、SP(特別刊行物)、NISTIR(機関間報告書・内部報告書)、ITL Bulletin(月刊文書)、CSF(Cybersecurity Framework)などが挙げられます。このうちCSFが、サイバーセキュリティに関するフレームワークについて記載された文書です。

一方、SP800シリーズは具体的な実装に関する手順書として公開されています。詳細なチェックリストや技術要件を確認したい場合には、SP800シリーズを確認するとよいでしょう。

NIST CSF2.0への対応が求められる理由

NIST CSF2.0への対応が企業に求められる背景には、巧妙化の一途をたどるサイバー攻撃の実態があります。サイバー攻撃から組織や情報資産を守るサイバーセキュリティは、企業にとって重要な経営課題の1つとなりつつあるのです。求められる具体的なアクションとして、次のものが挙げられます。

  • サイバーセキュリティ対策の優先度の明確化
  • セキュリティレジリエンスの強化
  • 法的リスクの低減

世界標準のフレームワークを活用することで、求められるセキュリティ要件を効率良く満たせます。サイバー攻撃への備えを強化し、経営課題を着実に解決する上で、国際的な標準規格が求められているのが実情です。

NIST CSF2.0の基本構成

NIST CSF2.0は「Functions(コア機能)」「Tiers(実装階層)」「Profiles(プロファイル)」で構成されています。

構成要素概要
Functions(コア機能)サイバーセキュリティに求められる6つの主要機能。
Tiers(実装階層)サイバーセキュリティに関する組織体制の成熟度や現状のレベルを示す指標。
Profiles(プロファイル)組織の現状とあるべき姿を定義した文書。

これらの要素を組み合わせて活用することにより、組織は現状のセキュリティ体制と目標とするセキュリティ体制とのギャップを明確にした上で、必要な対策を講じられるという考え方にもとづいています。

NIST CSF2.0コア機能と求められる施策

NIST CSF2.0のコア機能について解説します。サイバーセキュリティに求められるとされる主要機能は次の6点です。

1. 統治(GOVERN)

「統治」は、企業のサイバーセキュリティリスクマネジメント戦略、期待、及びポリシーを確立し監視する上で役立ちます。

【検討すべき行動】

理解する・サイバーセキュリティリスクが、ビジネスのミッションの達成をどのように妨げるかを理解する。
・法的要求事項、規制上の要件、及び契約上の要求事項を理解する。(GV.OC-03)
・企業内の誰がサイバーセキュリティ戦略の策定及び実行に責任をもつかを理解する。
アセスメントする・重要な事業資産及び業務の全部又は一部の損失の潜在的なインパクトをアセスメントする。
・サイバーセキュリティ保険が事業にとって適切かどうかをアセスメントする。
・正式な関係を結ぶ前に、サプライヤー及びその他の第三者がもたらすサイバーセキュリティリスクをアセスメントする。
優先順位を付ける・他のビジネスリスクとともにサイバーセキュリティリスクの管理を優先する。
伝達する・リスクを認識し、倫理的で、継続的改善を行う文化に対するリーダーシップのサポートを伝達する。
・サイバーセキュリティリスクを管理するためのポリシーを、伝達し、実施し、維持する。

【検討すべき質問】

  •  ビジネスの成長に伴い、サイバーセキュリティ戦略をどれくらいの頻度でレビューしているか?
  • サイバーセキュリティ戦略の確立及び管理を支援するために、既存スタッフのスキルアップ、人材の採用、又は外部パートナーの関与が必要か?
  • ビジネス上及びビジネスリソースにアクセスする従業員所有のデバイスについて、許容可能な使用ポリシーがあるか?これらのポリシーについて、従業員に教育しているか?      

出典:NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide(IPA和訳版)

2. 識別(IDENTIFY)

「識別」は、ビジネスに対する現在のサイバーセキュリティリスクを特定するのに役立ちます。

【検討すべき行動】

理解するハードウェア、ソフトウェア、システム、及びサービスのインベントリを作成及び維持することで、ビジネスがどのような資産に依存しているかを把握する。
アセスメントする・(IT及び物理)資産の潜在的な脆弱性をアセスメントする。
・改善が必要な領域を識別するために、ビジネスのサイバーセキュリティプログラムの有効性をアセスメントする。
優先順位を付ける・ビジネスデータのインベントリ作成及び分類を優先する。
・リスクレジスタを使用して、内部及び外部のサイバーセキュリティの脅威と関連する対応を文書化することを優先する。
伝達する・サイバーセキュリティ計画、ポリシー、及びベストプラクティスを全スタッフ及び関連する第三者に伝える。
・サイバーセキュリティ計画、リスクマネジメントのプロセス、手順、及び活動に必要な改善を識別することの重要性をスタッフに伝える。

【検討すべき質問】

  • 保護する必要がある最も重要なビジネス資産(例えば、データ、ハードウェア、ソフトウェア、システム、施設、サービス、人材)は何か?   
  • 各資産に関連するサイバーセキュリティ及びプライバシーのリスクは何か?
  • 人員が業務を遂行するために使用している技術又はサービスは何か?これらの技術又はサービスはセキュアで、使用が承認されているか?    

出典:NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide(IPA和訳版)

3. 防御(PROTECT)

「防御」は、サイバーセキュリティリスクを防止又は軽減するためのセーフガードを使用する機能をサポートします。

【検討すべき行動】

理解する・従業員がアクセスすることが望ましい情報、又はアクセスすべき情報を理解する。
アセスメントする・従業員に対するサイバーセキュリティトレーニングの適時性、質、及び頻度をアセスメントする。
優先順位を付ける・多要素認証を提供するすべてのアカウントに多要素認証を要求することを優先し、強力なパスワードの生成と保護に役立つパスワードマネージャーの利用を検討する。
・製造業者のデフォルトパスワードの変更を優先する。
・ソフトウェア及びOSを定期的に更新し、パッチを適用することを優先する。 忘れないようにするために、自動アップデートを有効にする。
・定期的にデータをバックアップし、バックアップをテストすることを優先する。
・データを保護するために、タブレット及びノートPCがフルディスク暗号化できるよう設定することを優先する。
伝達する・一般的な攻撃を認識し、攻撃又は疑わしい活動を報告し、基本的なサイバー衛生のタスクを実行する方法をスタッフに伝達する。

【検討すべき質問】

  • 必要な人にだけアクセス及び権限を限定しているか?不要となった場合に、アクセスを取り除いているか?
  • データ及びデータストレージが不要になった場合、それらをどのようにしてセキュアにサニタイズし、破棄しているか?
  • 従業員はセキュリティを念頭に置いて業務を遂行するための知識及びスキルを有しているか?

出典:NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide(IPA和訳版)

4. 検知(DETECT)

「検知」は、起こり得るサイバーセキュリティ攻撃及び侵害の発見と分析に役立つ成果を提供します。

【検討すべき行動】

理解する・サイバーセキュリティインシデントの一般的な指標を識別する方法について理解する。
アセスメントする・期待される動作、又は典型的な動作から逸脱していないか、コンピューティング技術及び外部サービスをアセスメントする。
・改ざん、又は不審な活動の兆候がないか、物理環境をアセスメントする。
優先順位を付ける・サーバ、デスクトップ、及びノートPCを含むすべてのビジネスデバイスに、ウイルス対策ソフトウェア及びマルウェア対策ソフトウェアをインストールし、維持することを優先する。
・組織内にコンピューター及びネットワークを監視するリソースがない場合は、サービスプロバイダーに不審な活動を監視してもらうことを優先する。
伝達する・MSSPなどの認可されたインシデント対応者に、分析及び軽減に役立つインシデントに関連する詳細について連絡する。

【検討すべき質問】

  • 業務で使用するデバイスには、組織が所有するものであれ、従業員が所有するものであれ、ウイルス対策ソフトウェアがインストールされているか?
  • 従業員は、サイバー攻撃の可能性を検知し、報告する方法を知っているか?
  • 潜在的なサイバーインシデントを検知するために、ログ及びアラートをどのように監視しているか?

出典:NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide(IPA和訳版)

5. 対応(RESPOND)

「対応」は、検知されたサイバーセキュリティインシデントに関して行動を起こす能力をサポートします。

【検討すべき行動】

理解する・インシデント対応計画とは何か、及び計画の様々な側面を実装する権限及び責任を誰がもっているかを理解する。
アセスメントする・サイバーセキュリティインシデントへの対応能力をアセスメントする。
・インシデントをアセスメントし、その深刻度、発生した事象、及び根本原因を特定する。
優先順位を付ける・被害の拡大を防止するために、インシデントを封じ込め、根絶するための措置を講じることを優先する。
伝達する・確認されたサイバーセキュリティインシデントを、法律、規制、契約、又は政策によって求められている、すべての内外のステークホルダー(例えば、顧客、ビジネスパートナー、法執行機関、規制機関)に伝える。

【検討すべき質問】

  • サイバーセキュリティインシデント対応計画があるか?ある場合、それが実行可能かどうかを確認するために練習したことがあるか?
  • サイバーセキュリティインシデントが確認された場合に支援する、内外の主要なステークホルダー及び意思決定者が誰であるかわかっているか?

出典:NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide(IPA和訳版)

6. 復旧(RECOVER)

「復旧」には、サイバーセキュリティインシデントによって影響を受けた資産及び業務を復旧するための活動が含まれます。

【検討すべき行動】

理解する・社内及び社外の誰に復旧の責任があるのかを理解する。
アセスメントする・インシデント、実施された対応及び復旧措置、及び学んだ教訓を、自組織で、又はベンダ/パートナーと相談して文書化した事後報告書を準備することで、何が起こったかをアセスメントする。
・復元に使用する前に、バックアップしたデータ及び資産の完全性をアセスメントする。
優先順位を付ける・組織のニーズ、リソース、及びインパクトを受けた資産にもとづいて、復旧活動に優先順位を付ける。
伝達する・内外のステークホルダーと定期的かつセキュアにコミュニケーションをとる。
・インシデントの完了及び通常の活動の再開を伝え、文書化する。

【検討すべき質問】

  • 我々が学んだ教訓は何か?今後サイバーセキュリティインシデントが発生する可能性を最小限に抑えるにはどうすればよいか?
  • サイバーセキュリティインシデントについて、内外に伝えるための、法的、規制上、及び契約上の義務は何か?
  • 実施している復旧のステップが、ビジネスに新たな脆弱性をもたらすものではないことを確実にするにはどうすればよいか?

出典:NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide(IPA和訳版)

NIST CSF2.0対応の実施上のポイント

NIST CSF2.0に対応するには、企業は具体的に何を実施すればよいのでしょうか。実施上のポイント3点を見ていきましょう。

ポイント1:自社の現状を可視化する

NIST CSF2.0のコア機能をリスト化し、1〜6の機能について自社の現状をチェックしていきます。

【達成状況チェックリスト】

1. 統治□サイバーセキュリティ戦略をレビューする頻度は適切か
□既存スタッフのスキルアップ、人材の採用、又は外部パートナーの関与が必要か
□従業員所有のデバイスについて、許容可能な使用ポリシーがあるか
2. 識別□保護する必要がある最も重要なビジネス資産は何か
□各資産に関連するサイバーセキュリティ及びプライバシーのリスクは何か
□業務遂行に使用している技術・サービスは何か
セキュアで使用が承認されている技術・サービスか
3. 防御□アクセス権限は必要な人だけに付与されているか
□不要になったデータやデータストレージがセキュアにサニタイズ・破棄されているか
□従業員のセキュリティに関する知識・スキルに問題はないか
4. 検知□業務で使用するデバイスにウイルス対策ソフトウェアがインストールされているか
□サイバー攻撃の検知及び報告する方法が認知されているか
□ログやアラートが監視されているか
5. 対応□サイバーセキュリティインシデント対応計画を策定しているか・訓練は実施されているか
□サイバーセキュリティインシデントが確認された場合の意思決定者と支援すべき相手がわかっているか
6. 復旧□過去のサイバーセキュリティインシデントの教訓が生かされているか
□サイバーセキュリティインシデントについて内外に伝えるための法的、規制上、契約上の義務を理解しているか
□復旧ステップはビジネスに新たな脆弱性をもたらすものではないことが確認されているか

ポイント2:理想とするセキュリティレベルを設定する

を踏まえて、対応の優先順位を決めましょう。

優先的に対応すべき項目に関しては、どこまでセキュリティレベルを引き上げる必要があるのかを決め、ゴールを設定します。その際、Tier1〜4に当てはめて現状と理想のセキュリティレベルをそれぞれ可視化していくとスムーズでしょう。

【Tierの階層と成熟度】

階層成熟度
Tier1:部分的であるリスクへの対応は場当たり的で、組織全体で統一されていない。
Tier2:リスク情報を活用しているリスクアセスメントは実施されているものの、組織的なプロセスとして定着しているとはいえない。
Tier3:反復可能であるセキュリティに関する方針や手順が文書化されている。文書にもとづき、組織全体で実行・運用されている。
Tier4:適応しているリスク管理の体制や仕組みが継続的に改善・最適化されている。環境の変化に対応するための準備が整っている。

ポイント3:現状を理想に近づけるためのプランを策定する

現状と理想のギャップを埋めるための具体的なアクションプランを策定します。計画に沿ってセキュリティ対策を実施し、改善を図りましょう。

NIST CSF2.0のプロファイルは、対策状況に関する共通認識を形成するためのコミュニケーションツールとしても活用できます。「クラウド移行」「ランサムウェア対策」など、シナリオごとにプロファイルを作成し、目的に応じて柔軟に運用していくことが大切です。

NIST対応にはマネージドサービスの活用がおすすめ

NIST CSF2.0への対応を目指すことによって、世界標準のフレームワークに準拠したセキュリティ要件を効率良く実現しやすくなります。NIST準拠のITマネージドサービスを活用することで、ポリシー策定に留まらず、実際の運用を想定したセキュリティ対策を講じられるでしょう。

次の資料は、情シス担当者のためのNIST準拠セキュリティ対策ガイドです。NISTの難解なフレームワークをシンプルに理解しつつ、実践的な運用方法を把握できるように構成されています。

【資料サマリー】

  • NISTのコア機能
  • ポリシーは作れても「運用」が回らない原因
  • NISTをIT運用へ落とし込む実践へのロードマップ
  • 【チェックリスト】今すぐできるセキュリティ運用の自己診断

資料を手元に保管していただくことで、NIST対応の実践的な進め方をいつでもご確認いただけます。資料を次のリンクから無料でダウンロードできますので、ぜひご活用ください。

【WPダウンロード】NIST準拠の情報セキュリティ対策

より具体的なご相談や、自社に合った活用方法について知りたい方は、PSソリューションズの「IT with」までお気軽にお問い合わせください。     

IT with サービス概要資料はこちら(無料)

ダウンロードフォーム

同意する 個人情報の取り扱いについて

AI×BPaaSで進化する
次世代のマネージドIT運用へ

ソフトバンクで日々改善され続けている“体系化された情シス運用”を
BPaaSとして拡張し、企業のIT運用品質を飛躍的に向上させます。