この問題は本試験の過去問ではありません。当サイトが出題傾向の分析に基づいて作成したオリジナル問題です。
第19問
論点:NIST CSF 2.0とサイバーセキュリティ経営ガイドライン
米国国立標準技術研究所(NIST)が公表したサイバーセキュリティフレームワーク (CSF)2.0、及び経済産業省とIPA(情報処理推進機構)による「サイバーセキュリ ティ経営ガイドライン」に関する以下の文章の空欄A~Cに入る語句の組み合わせと して、最も適切なものを下記の解答群から選べ。なお、令和8年5月1日を基準日 とする。 CSF 2.0 は、Identify、Protect、Detect、Respond、Recover に A を加えた 6つのコア機能で構成される。 A はCSF 2.0 において第6の機能として新設された ものであり、CSF 2.0 では適用範囲も B に拡大された。 一方、サイバーセキュリティ経営ガイドラインは、基準日の時点では C が最 新版であり、「経営者の3原則」と「重要10項目」から構成されている。
- ア A:Govern B:重要インフラ事業者 C:Ver3.0
- イ A:Govern B:重要インフラ事業者 C:Ver4.0
- ウ A:Govern B:すべての組織 C:Ver3.0
- エ A:Manage B:重要インフラ事業者 C:Ver4.0
- オ A:Manage B:すべての組織 C:Ver3.0
▼ 解答・解説を見る
正解:ウ
解答:ウ
NIST CSF 2.0(2024年2月26日公表)とサイバーセキュリティ経営ガイドラインの要点を問う穴埋めである。
- A=Govern:CSF 2.0のコア機能は、Govern(統治)/Identify/Protect/Detect/Respond/Recoverの6つである。このうちGovern が2.0で第6の機能として新設された点が最大の変更点であり、ここが問われやすい。Manage はコア機能ではない。
- B=すべての組織:CSF 2.0では、適用範囲が従来の重要インフラから、規模・分野を問わずすべての組織へ拡大された。「重要インフラ事業者」に限定するのは1.1までの位置づけであり、2.0の説明としては誤り。
- C=Ver3.0:サイバーセキュリティ経営ガイドラインはVer3.0(2023年3月24日公表)が最新版であり、基準日(令和8年5月1日)の時点でもこれより新しい版は公表されていない。Ver4.0は存在しない。
CSF 2.0は、6機能・22カテゴリ・106サブカテゴリという構成である点もあわせて押さえておきたい。
参考
- サイバーセキュリティ経営ガイドラインは「経営者の3原則」と「重要10項目」から構成される。付属のプラクティス集は第4版(2023年10月31日)であり、ガイドライン本体の版(Ver3.0)とは別に管理されている点に注意。
- 「最新版はどれか」を問う出題は、デジタルガバナンス・コード3.0(4.0は存在しない)、システム監査基準(令和5年4月26日改訂版が最新)と共通する形である。新しい版が出ていないことを知っていることが得点条件になる。
したがって A:Govern/B:すべての組織/C:Ver3.0。よって ウ。
なぜこの論点を予想したか
情報セキュリティ〈第7章〉は過去19年で86回・毎年出題の最頻出領域。NIST CSF 2.0は2024年2月26日公表で、Govern の新設という明確な変更点があり穴埋め形式に適する。サイバーセキュリティ経営ガイドラインはVer3.0(2023年3月24日)が最新のまま更新されておらず、版の新旧を問える状態が続いている。クラウドの定義(R06第6問)でNISTの定義が下敷きになるなど、NIST由来の枠組みは本科目と親和性が高い。
出典
- NIST『The NIST Cybersecurity Framework (CSF) 2.0』(NIST CSWP 29) https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf
- IPA『サイバーセキュリティ経営ガイドラインと支援ツール』 https://www.ipa.go.jp/security/economics/csm-practice.html