2024年2月26日にNIST（米国国立標準技術研究所）のサイバーセキュリティフレームワークがV1.1からV2.0へバージョンアップしました。この文書は、本来は米国連邦政府向けの文書だったのですが、その内容の分かりやすさや、時流に即した内容により、米国の民間企業にも、そして日本を含む他国のセキュリティの取組みに大きな影響を与えています。
本コラムでは、NISTサイバーセキュリティフレームワーク（以下、CSF）V2.0の変更点を読み解くことによって、今後のサイバーセキュリティ対策に必要な要素や留意点について明らかにします。

なぜNISTサイバーセキュリティフレームワーク（CSF）が注目されるのか？

CSFは、元々は米国連邦政府の重要インフラ向けに2014年に策定されたものです。そのため、本来無関係な民間企業や、日本の組織で利用・遵守する義務はありません。
しかし、サイバー攻撃によって侵入された前提で、国家レベルの文書においてセキュリティ活動を「特定」、「防御」、「検知」、「対応」、「復旧」の5つの機能に分類・表現したことは、当初から画期的かつ分かりやすい概念として多くの組織に受け入れられました。また、それら5つの機能を構成する内容がカテゴリ／サブカテゴリに細分化され、著名なセキュリティ基準との関連づけが参照情報として明示されているため、使いやすさの面でも多くの組織に配慮されていました。

図1：これまでのCSF

その後、CSFやその考え方は国際的に多くの組織で活用が進み、特に海外とのやりとりが多い組織で導入が進んでいるようです。また、日本でもサイバーセキュリティ経営ガイドライン（経済産業省）や、サイバー・フィジカル・セキュリティ対策フレームワーク（経済産業省）など、CSFを参考に策定されたと推察されるセキュリティ基準も出ています。
そのため、CSFの動向は、多くの組織で今後のセキュリティ活動の方向性を示唆するほどのインパクトがあります。

NISTサイバーセキュリティフレームワーク2.0への主な変更点

今回のバージョンアップでは大きく以下6点の変更があります。

1. CSFは幅広い組織向けのフレームワークと位置付けられました

2. 新たな機能「ガバナンス」が追加されました

図2：CSF2.0の全体像

3. サイバーセキュリティのサプライチェーンリスクマネジメントに重点が置かれました

4. 新たに複数の他のフレームワークや文書に関連付けられました

5. CSFの実行に関する参考情報やガイダンスが強化されました

6. リスクガバナンスおよびリスクマネジメントの実践に関する階層（Tier）が見直されました

NISTサイバーセキュリティフレームワーク2.0の全体像

CSF 2.0の6つの機能の役割（成果：Outcome）は、以下のように定義されました。

図3：CSF2.0の各機能

6つの機能は、密接に関連しており、以下のような関係性にあります。

NISTサイバーセキュリティフレームワーク2.0の6つの機能およびカテゴリの変更点

① ガバナンス（GV）GOVERN

新機能として「ガバナンス」が追加されました。カテゴリの多くは旧「特定」機能から移行されると共に、リスクマネジメント戦略の見直しを行う監督（Oversight）が新カテゴリとして追加されました。監督では、リスクマネジメント戦略そのものの実行結果を確認し、見直しを行うことが求められています。
他にも、サブカテゴリに、ポジティブリスクのリスク議論への組み込み（GV.RM-07）、リーダーによるリスク責任（GV.RR-01）などの要素が追加されました。
ポジティブリスクとは、この場合、プラスの影響を与える可能性がある好機のリスクのことで、分かりやすくチャンス／チャレンジと読み替えてもいいかもしれません。

• ・組織の状況（GV.OC）Organizational Context
  組織のサイバーセキュリティリスク管理の決定を取り巻く状況（ミッション、利害関係者の期待、依存関係、法律、規制、契約上の要件）が理解されている。
• ・リスクマネジメント戦略（GV.RM）Risk Management Strategy
  オペレーショナルリスクの意思決定をサポートするため、組織の優先順位、制約、リスク許容度および選好度の表明、および前提条件が確⽴され、伝達され、使⽤されている。
• ・役割、責任、および権限（GV.RR）Roles, Responsibilities, and Authorities
  説明責任、パフォーマンス評価、継続的改善を促進するためのサイバーセキュリティの役割、責任、および権限が確⽴され、伝達されている。
• ・ポリシー（GV.PO）Policy
  組織のサイバーセキュリティポリシーが確⽴され、伝達され、執行される。
• ・監督（GV.OV）Oversight
  組織全体のサイバーセキュリティリスクマネジメント活動およびパフォーマンスの結果は、リスクマネジメント戦略の情報提供や、改善、調整に使⽤されている。
• ・サイバーセキュリティサプライチェーンリスクマネジメント（GV.SC）Cybersecurity Supply Chain Risk Management
  サイバーサプライチェーンのリスクマネジメントプロセスは、組織の利害関係者によって特定、確⽴、管理、監視、改善されている。

② 特定（ID）IDENTIFY

カテゴリの多くが「ガバナンス」機能に移行してシンプルになりました。また、元々複数の機能に存在していたカテゴリ「改善」がここに集約されました。
他にも、データおよびメタデータのインベントリ（ID.AM-07）、評価からの改善点特定（ID.IM-01）などの要素が追加されました。

• ・資産管理（ID.AM）Asset Management
  組織がビジネス⽬的を達成できるようにするための資産（データ、ハードウェア ソフトウェア、システム、施設、サービス、⼈材など）が特定され、組織の⽬的および組織のリスク戦略に対する相対的な重要性と⼀致して管理されている。
• ・リスクアセスメント（ID.RA）Risk Assessment
  組織、資産、個⼈に対するサイバーセキュリティのリスクは、組織に理解されている。
• ・改善（ID.IM）Improvement
  CSFの全てのフレームワークの機能にわたって、組織のサイバーセキュリティリスクマネジメントのプロセスや⼿順、活動に関する改善点が特定されている。

③ 防御（PR）PROTECT

カテゴリが再編成されましたが、大規模な変更はありません。IDアサーションの保護（PR.AA-04）や不正ソフト防止（PR.PS-05）などの要素が追加されました。
この場合のIDアサーションとは、IDの認証要求や認証可否、利用者属性などの認証関連情報のことです。

• ・ID管理、認証、およびアクセス制御（PR.AA）Identity Management, Authentication, and Access Control
  物理的および論理的資産へのアクセスは、許可されたユーザー、サービス、およびハードウェアに限定され、不正アクセスのリスク評価結果に応じて管理されている。
• ・意識向上およびトレーニング（PR.AT）Awareness and Training
  組織の担当者は、サイバーセキュリティ関連のタスクを実行できるように、サイバーセキュリティの意識向上教育およびトレーニングが提供されている。
• ・データセキュリティ（PR.DS）Data Security
  データは、情報の機密性、完全性、可用性を保護するため、組織のリスク戦略と一致して管理されている。
• ・プラットフォームセキュリティ（PR.PS）Platform Security
  物理および仮想プラットフォームのハードウェア、ソフトウェア（ファームウェア、オペレーティング システム、アプリケーションなど）およびサービスは、機密性、完全性、および可⽤性を保護するため、組織のリスク戦略と⼀致して管理されている。
• ・テクノロジーインフラストラクチャーレジリエンス（PR.IR）Technology Infrastructure Resilience
  セキュリティアーキテクチャ―は、資産の機密性、完全性、可用性、および組織の回復力を保護するため、組織のリスク戦略に従って管理されている。

④ 検知（DE）DETECT

カテゴリが再編成されましたが、大規模な変更はありません。脅威インテリジェンスを活用した分析（DE.AE-07）の要素が追加されました。

• ・継続的モニタリング（DE.CM）Continuous Monitoring
  資産が、異常、侵害の兆候、およびその他の潜在的な有害イベントを見つけるために監視されている。
• ・有害イベント分析（DE.AE）Adverse Event Analysis
  異常、侵害の兆候、およびその他の潜在的な有害イベントが、分析され、そのイベントを特徴付けられ、サイバーセキュリティインシデントが検知されている。

⑤ 対応（RS）RESPOND

カテゴリが再編成されましたが、大規模な変更はありません。ただしインシデント対応の活動内容がサブカテゴリレベルでいくつか追加されました。
例えば、回復開始基準の適用（RS.MA-05）やインシデント関連データの保護（RS.AN-07）インシデント規模の推定（RS.AN-08）などの要素が追加されました。

• ・インシデント管理（RS.MA）Incident Management
  検出されたサイバーセキュリティインシデントへの対応が管理されている。
• ・インシデント分析（RS.AN）Incident Analysis
  効果的な対応を確保しフォレンジックおよび復旧活動をサポートするための調査が実施されている。
• ・インシデント対応の報告およびコミュニケーション（RS.CO）Incident Response Reporting and Communication
  対応活動は、法律、規制、またはポリシーの要求に応じて社内および社外の利害関係者と調整されている。
• ・インシデント軽減（RS.MI）Incident Mitigation
  イベントの拡大を防ぎ、その影響を軽減するための活動が実行されている。

⑥ 復旧（RC）RECOVER

カテゴリが再編成されましたが、大規模な変更はありません。ただしインシデント復旧計画の活動内容がサブカテゴリのレベルで詳細化されました。
例えば、バックアップ復旧前の検証（RC.RP-03）や、復旧した資産の検証（RC.RP-05）、復旧終了基準の適用（RC.RP-06）などの要素が追加されました。

• ・インシデント復旧計画の実行（RC.RP）Incident Recovery Plan Execution
  サイバーセキュリティインシデントの影響を受けたシステムおよびサービスのオペレーショナルな可用性を確保するために復旧活動が実行されている。
• ・インシデント復旧コミュニケーション（RC.CO）Incident Recovery Communication
  復旧活動は社内および社外の関係者と調整されている。

NISTサイバーセキュリティフレームワーク2.0におけるTierの概要

詳細はCSF2.0本文を確認する必要がありますが、リスクガバナンスやリスクマネジメントのTier（階層）が以下のように示されました。段階は従来通りの4段階です。
従来通り、必ずしもTier4を目指さなくてはならないわけではなく、組織の事情に応じてどのTierを目指すかを自ら決めることが重要です。

図4：リスクガバナンスやリスクマネジメントに関するTierの概要

まとめ

今回のCSF2.0への変更により、サイバーセキュリティの取り組みにおいてガバナンスの重要性、特にサプライチェーンセキュリティの重要性がクローズアップされました。もちろん、多くの組織においてガバナンスもサプライチェーンセキュリティも取り組んでいると思いますが、その優先度・重要度が一段上がったと思います。
とはいえ、ガバナンスに定められている内容は多くが直接的なセキュリティ対策ではないため、どうしてもその効果や実装イメージがつきづらいと思います。今回の大幅改定では、CSF2.0利用上の参考情報がさまざまな形で提供されていますので、これらを参考に常にリスクを把握しスピーディーに対応するための仕組みづくりを進めることが望ましいです。

参考情報

NTTデータ先端技術ではCSFのあらゆるフェーズにおいてセキュリティサービスを提供しています。お問い合わせください。

図5：NTTデータ先端技術の主なセキュリティサービス

参考資料