NISTサイバーセキュリティフレームワーク【NIST Cybersecurity Framework】NIST CSF
NISTサイバーセキュリティフレームワークとは?
中心となるのは「コア」(core)と呼ばれる機能群で、「統治」(govern)、「識別」(identify)、「防御」(protect)、「検知」(detect)、「対応」(respond)、「復旧」(recover)の6つに整理されている。「統治」はバージョン2.0で追加された機能で、ガバナンスの観点からセキュリティ管理の方針や体制を定める。
「識別」では保護対象となる資産やリスクを把握し、「防御」ではアクセス制御や教育・データ保護といった対策を実施する。「検知」では異常や攻撃の兆候を監視し、「対応」ではインシデント発生時の封じ込めや関係者への連絡を行い、「復旧」では業務の再開と再発防止を進める。
各機能はさらに「カテゴリ」「サブカテゴリ」へと細分化されており、アクセス権限の管理やログ監視、脆弱性管理、事業継続計画といった具体的な管理策に対応する。すべてを一律に実施することを求めるものではなく、自社の事業環境やリスク許容度に応じて適用範囲を選択できる「リスクベースアプローチ」を採用している。
実際の運用では、「プロファイル」(profile)と「ティア」(tier)という概念が用いられる。プロファイルは組織の現状と目標状態をコアの各項目に照らして整理したもので、対策上のギャップを把握するために使われる。ティアはセキュリティリスク管理の成熟度を4段階で示すもので、場当たり的な対応から継続的改善が行われる状態までを区分する。これにより、経営層と現場担当者が共通の基準でリスクや投資の優先順位を議論しやすくなる。
もともとは米国の重要インフラ防護を目的として策定されたが、現在は民間企業や行政機関を含む幅広い組織で参照されており、日本でも政府機関や民間企業での活用が進んでいる。ISO規格や各国のガイドラインとの対応関係も整理されており、既存のセキュリティ管理体制と組み合わせた導入が可能である。
共有ボタンをタップ