この資料の趣旨

概要

• この資料では、CSF2.0の改訂のポイントと、フレームワーク活用するためのオンラインコンテンツを紹介します。
• NISTサイバーセキュリティフレームワーク（NIST CSF）は、サイバーセキュリティリスクに対応するための包括的なフレームワークであり、2024年2月に約10年ぶりに大幅改訂され、正式に公開されました。
• 中小企業を含めた組織のサイバーセキュリティ対策は、情報セキュリティマネジメントシステム（ISMS）の要件が定義されているISO/IEC 27001、ISMSの実施ガイドラインであるISO/IEC 27002を補完する形で、CSF2.0も活用することにより、より網羅的、体系的な対策の確立を期待できます。

参考文献

• Cybersecurity Framework | NIST
  • Navigating NIST's CSF 2.0 Quick Start Guides
    • Resource and Overview Guide
    • CSF 2.0 Organizational Profiles
    • CSF 2.0 Community Profiles
    • Small Business
    • C-SCRM
    • Tiers
    • Enterprise Risk Management
  • CSF 2.0
  • CSF 2.0 Profiles
    • CSF 2.0 Organizational Profiles
      • Notional CSF 2.0 Profile Template Download(XLSX)
      • CSF 2.0 Community Profiles Vist
  • Informative References (Mappings)
    • Download CSF 2.0 Informative Reference in the Core - Directly download all the Informative References for CSF 2.0 - Select Informative References to be included with the Core Browse
    • CSF 2.0 Implementation Examples
      • Download (xlsx) Download (pdf)
  • FAQs
  • Translations of NIST Cybersecurity and Privacy Resources
  • NIST Cybersecurity Framework (CSF) 2.0 Reference Tool
• 解説ページ
  • NIST CSF2.0解説レポート | assured.jp 2024-2-29 参照
  • NIST サイバーセキュリティフレームワーク 2.0を解説｜約10年ぶりの大幅改訂、押さえるべき要点とは？｜ブログ｜NRIセキュア 2024-2-29 参照
  • ISMSとNIST CSFは何がどう違うの？ | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン 2024-2-29 参照
  • 『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト
    • 情報セキュリティに関する各種フレームワークの概要
    • 【本編05】網羅的なセキュリティ対策を知る【フレームワーク】
    • Sec2023-01-02_欧米の各種規格等の最新動向と概要【ドラフト版】
    • Sec01-02-3 サイバーセキュリティフレームワーク(CSF)フレームワークコア「重要インフラのフレームワークコア

この要約資料の改版履歴

• 2024/03/11 Rev.0.1.1
• 2024/03/08 Rev.0.1 暫定版

---

CSF2.0の改訂のポイント

NIST Cybersecurity Framework（NIST CSF）のバージョン2.0は、2024年2月26日に正式に公開されました。これは、2014年に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂です。以下に、NIST CSF 2.0の主な改訂ポイントを解説します。

重要インフラだけでなくあらゆる規模の組織へ適応範囲の拡大:

• CSF2.0は、重要インフラだけでなく、営利・非営利を問わず、あらゆる規模の組織におけるサイバーセキュリティリスクの低減に資することを目的としています。
  • フレームワークの正式名称が「Framework for Improving Critical Infrastructure Cybersecurity（重要インフラのサイバーセキュリティを向上させるためのフレームワーク）」から、より汎用的な「Cybersecurity Framework（サイバーセキュリティフレームワーク）」に変更されています。

経営層の主導で対策を行うためのガバナンス機能の追加

• ガバナンス機能は他の５つの機能（識別、防御、検知、対応、復旧）の目標達成や組織内の優先順位付けをするためのものと定義され、CSF2.0の中心的機能と位置づけられています。
  • NIST CSF 2.0は、新しい機能として「Govern（統治）」を導入し、組織のミッションや目標に沿ったサイバーセキュリティの管理を促している。
  • NIST CSF 2.0は、サイバーセキュリティを企業リスクの一つと位置づけ、経営層の主導で対策と改善を行うことを推奨している。

フレームワーク活用するための補助リソースのリリース

• CSF2.0本体は大きく次の３つのコンポーネントから構成されています。それらのコンポーネント構成やその定義に大きな変更はありませんが、今回のCSF2.0にあわせてサイバーセキュリティリスク対策を推進・補助するための多くの補助リソースがリリースされています。
  • 実装例：これは、特定のサブカテゴリーをどのように実装するかのベストプラクティス（最良の方法）を示している。
  • 参考情報：これは、目標達成に役立つ他のガイドラインやリソースを提供している。
  • クイック・スタート・ガイド：これは、中小企業などの特定のニーズに対応した専用のガイダンスを提供している。
  • そして、NIST CSF 2.0 リファレンス ツールを使用すると、ユーザーはCSF 2.0 コア（機能、カテゴリ、サブカテゴリ、実装例）を探索できる。このツールは、人間と機械が読み取り可能な形式（JSON および Excel）でコアを提供する。さらに、ユーザーは主要な検索用語を使用してコアの一部を表示し、エクスポートすることも可能。これにより、ユーザーは自分のニーズに合わせて情報を探しやすくなる。

サプライチェーンリスクマネジメント項目の拡充

• サプライチェーンリスク管理プロセスが組織のステークホルダーにより識別・確立・管理・監視・改善されること。
  • NIST CSF 2.0の最新の改訂では、新たな機能として「GV（統治）」が導入された。この「GV」の下には新しいカテゴリー「GV.SC：サイバーセキュリティサプライチェーンリスクマネジメント」が設けられ、その役割が移行された。これにより、サプライチェーンのリスク管理に必要な対策項目（サブカテゴリー）が大幅に増えた。これは、サプライチェーンのリスクをより効果的に管理するための重要なステップ。

以上が、NIST CSF 2.0の主な改訂ポイントです。これらの改訂により、企業や組織のサイバーセキュリティ対策強化に向けた指針として、本フレームワークの活用は一層進むことが予想されます。

---

ISO/IEC27001,27002とCSF2.0の活用

• ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）の要件を定義しており、ISO/IEC 27002はISMSの実施ガイドラインです。これらの規格は、情報セキュリティに関する国際的な指針として広く認知され、活用されています。

• これに対して、NIST CSFは、サイバーセキュリティリスクに対応するための包括的なフレームワークであり、官民の組織で活用されています。2024年2月に正式に公開されたNIST CSF 2.0は、約10年ぶりの大幅改訂です。

CSF 2.0を活用する意義

• 包括性と実用性:
  • NIST CSFは広範な管理策をカバーし、サイバーレジリエンスを強化するための具体的なアクションを提供します。これにより、組織は包括的なアプローチでサイバーセキュリティを向上させることができます。
• 共通言語としての活用:
  • NIST CSFは世界中で広く活用されており、組織内外の関係者とのコミュニケーションに役立ちます。特に「GV（統治）」機能は経営層との共通言語として活用できます。
• リスクマネジメントの強化:
  • NIST CSFはリスクベースのアプローチを推進し、サプライチェーンリスクマネジメントを強化します。

ISMSは広範な情報セキュリティを対象としていますが、NIST CSFは特にサイバー攻撃の事後対策（検知、対応、復旧）にも多く言及されています。 総括すると、NIST CSF 2.0はISO/IEC 27001, 27002と補完しながら、組織のサイバーセキュリティ対策を強化するための有用なツールとなります。