NIST CSF

NIST CSF（NIST Cybersecurity Framework：NISTサイバーセキュリティフレームワーク）とは、米国国立標準技術研究所（NIST：National Institute of Standards and Technology）が策定した、組織のサイバーセキュリティリスクを管理するための自主的なフレームワークです。2014年に初版（v1.0）が公開され、重要インフラの保護を目的として策定されましたが、現在ではあらゆる規模・業種の組織で広く活用されています。

NIST CSFは、サイバーセキュリティ活動を5つの機能（Functions）に体系化しています。識別（Identify）、防御（Protect）、検知（Detect）、対応（Respond）、復旧（Recover）の5つの機能を通じて、組織はサイバーセキュリティリスクの全体像を把握し、優先順位に基づいた対策を講じることができます。各機能はさらにカテゴリとサブカテゴリに細分化され、具体的な活動指針を提供します。

2024年2月に公開されたNIST CSF 2.0では、新たにガバナンス（Govern）機能が追加され、6つの機能に拡張されました。また、適用対象がすべての組織に拡大され、サプライチェーンリスク管理の強化、組織のプロファイル機能の改善など、10年間の実践で得られた教訓が反映されています。日本においても、経済産業省の「サイバーセキュリティ経営ガイドライン」がNIST CSFを参照しており、国内企業のセキュリティフレームワークとして広く参照されています。

5つのコア機能（+ガバナンス）

NIST CSFのコアは、サイバーセキュリティ活動の全体像を体系的に示すものです。CSF 2.0では、以下の6つの機能で構成されています。

• ガバナンス（Govern）：CSF 2.0で新設。組織のサイバーセキュリティリスク管理の戦略・方針・期待値を確立し、他の5つの機能にまたがる意思決定を支援する。リスク管理戦略、役割・責任・権限、ポリシー、サプライチェーンリスク管理を含む
• 識別（Identify）：組織が管理するシステム、資産、データ、能力に対するサイバーセキュリティリスクを理解し、優先順位を付ける。資産管理、ビジネス環境、リスクアセスメントが主要カテゴリ
• 防御（Protect）：重要なサービスの提供を確保するための適切な保護措置を実施する。アクセス制御、意識向上・訓練、データセキュリティ、保守、保護技術が含まれる
• 検知（Detect）：サイバーセキュリティイベントの発生を適時に発見するための活動を実施する。異常検知、継続的監視、検知プロセスが主要カテゴリ
• 対応（Respond）：検知されたサイバーセキュリティインシデントに対して適切な措置を講じる。対応計画、コミュニケーション、分析、緩和、改善が含まれる
• 復旧（Recover）：サイバーセキュリティインシデントにより損なわれた能力やサービスを回復するための活動を実施する。復旧計画、改善、コミュニケーションが主要カテゴリ

CSF 2.0の主要な更新内容

2024年2月に公開されたCSF 2.0は、初版から約10年間の実践経験と利害関係者からのフィードバックを反映した大幅な改訂です。最も重要な変更点は、ガバナンス機能の新設により、サイバーセキュリティを組織の戦略的リスク管理に統合することを明確に位置付けたことです。

また、CSF 2.0では適用対象が重要インフラに限定されず、あらゆる規模・業種の組織に拡大されました。サプライチェーンリスク管理が独立した重要テーマとして強化され、組織間のコミュニケーションと期待値の共有を促進する「組織プロファイル」の概念が改善されています。さらに、他のフレームワーク（ISO 27001、COBIT等）との対応関係を示す「参照マッピング」が充実しました。

実装ティア（Implementation Tiers）

実装ティアは、組織のサイバーセキュリティリスク管理の成熟度を4段階で示すものです。ティア1（部分的：Partial）ではリスク管理が場当たり的で、ティア2（リスク情報活用：Risk Informed）ではリスク管理が部門レベルで実施されています。

ティア3（反復可能：Repeatable）では組織全体で正式なリスク管理プロセスが確立され、ティア4（適応的：Adaptive）ではリアルタイムのリスク情報に基づいてセキュリティ体制を動的に調整できる状態を示します。ティアは段階的な達成目標ではなく、組織のリスク環境とビジネス要件に応じた適切なレベルを選択するための指標です。

プロファイル（Profiles）

プロファイルは、組織がNIST CSFのコア機能・カテゴリ・サブカテゴリに対して、自組織の現在の状態（Current Profile）と目標とする状態（Target Profile）を記述するツールです。現在のプロファイルと目標プロファイルの差分（ギャップ）を分析することで、優先的に取り組むべきセキュリティ改善項目を特定できます。

CSF 2.0では「コミュニティプロファイル」の概念が導入され、特定の業界やセクターに共通するセキュリティ要件をテンプレート化して共有することが推進されています。これにより、中小企業でも業界のベストプラクティスに基づいたセキュリティ対策を効率的に導入できます。

他のフレームワークとの関係

NIST CSFは、既存のセキュリティ標準・ガイドラインとの相互運用性を重視して設計されています。ISO 27001との対応関係が明確に示されており、ISO 27001認証を取得している組織はNIST CSFの多くの要素をすでに満たしていることが多いです。

また、NIST SP 800-53（セキュリティ管理策カタログ）、NIST SP 800-171（CUI保護）、CIS Controls、COBIT等の具体的な管理策フレームワークと組み合わせて使用することで、CSFの各サブカテゴリに対する具体的な実装指針を得ることができます。日本では、経済産業省の「サイバーセキュリティ経営ガイドライン」やIPAの各種ガイドラインとの併用が推奨されています。

• 01
  現状プロファイルの作成とギャップ分析：NIST CSFのコア機能・カテゴリ・サブカテゴリに沿って、組織の現在のサイバーセキュリティ対策状況を評価し、現状プロファイルを作成してください。次に目標プロファイルを定め、両者のギャップを分析することで、優先的に取り組むべきセキュリティ改善項目を特定しましょう。
• 02
  資産の可視化とリスクアセスメント（識別機能）：組織が保有するすべてのIT資産（ハードウェア、ソフトウェア、データ、ネットワーク）を棚卸しし、各資産のビジネス上の重要度を評価してください。脅威と脆弱性を特定した上で、リスクアセスメントを実施し、リスクの優先順位に基づいた対策計画を策定しましょう。
• 03
  多層防御の実装（防御機能）：識別されたリスクに対して、多層防御の考え方に基づいた保護措置を実装してください。アクセス制御（多要素認証、最小権限の原則）、データ保護（暗号化、バックアップ）、ネットワークセキュリティ（セグメンテーション、ファイアウォール）、従業者教育を包括的に実施しましょう。
• 04
  継続的な監視と検知能力の強化（検知機能）：SIEM（セキュリティ情報・イベント管理）やEDR（エンドポイント検知・対応）等のツールを活用し、セキュリティイベントの継続的な監視体制を構築してください。異常検知のベースラインを設定し、アラートのトリアージプロセスを確立することで、脅威の早期発見を実現しましょう。
• 05
  インシデント対応計画の策定と訓練（対応・復旧機能）：サイバーセキュリティインシデントが発生した際の対応計画を策定し、定期的な訓練（テーブルトップ演習、実技演習）を実施してください。対応計画には、エスカレーション手順、外部連絡先（法執行機関、CSIRT）、広報対応、法的対応を含め、復旧に必要な手順とRTO/RPOの目標を明確化しましょう。
• 06
  サプライチェーンリスク管理の強化（ガバナンス機能）：CSF 2.0で強化されたサプライチェーンリスク管理に対応するため、主要なサプライヤーやサービスプロバイダーのセキュリティ状況を評価・監視する体制を構築してください。契約にセキュリティ要件を明記し、定期的なセキュリティ評価を実施し、サプライチェーン全体のリスクを可視化・管理しましょう。