初めまして!2025年度に入社したハラです!最近、自社の診断資格を取得して、実際に診断をしてみたくてウズウズしています。
本ブログでは、CSF導入の第一歩として、フレームワークの全体像から具体的な中身まで解説していきます。
NIST Cybersecurity Framework(以下CSF)は、米国国立標準技術研究所(NIST)が策定したサイバーセキュリティのフレームワークです。
2010年の「Stuxnet」によるイランの核施設へのサイバー攻撃、2012年以降のDDoS攻撃やAPT攻撃の急増により、国家の重要インフラを守るサイバーセキュリティは国家安全保障レベルの課題となりました。
直近でも、生成AIの普及によるフィッシングの増加、金融業界での不正取引の増加など、サイバー脅威は日に日に大きくなっています。
こうした背景から、2013年2月、オバマ元大統領の大統領令により「国家の重要インフラを守るために、政府と民間が共有できるサイバーセキュリティの枠組みを作りなさい」という指示が出され、NISTによって2014年2月に初版(CSF1.0)が公開されました。
最新版であるCSF2.0では、以下の4つの大きな変更がありました。
「統治」という新しいコアが増えたことに目が行きがちですが、実は「対応」と「復旧」の変更がより重要です。
特に4つ目の「他フレームワークとの橋渡し役になれる」という点は、CSFならではの特徴です。この汎用性の高さが、世界中で評価されている理由です。
現状、日本企業でのCSF採用率は米国等の海外企業に比べてかなり低い状態です。その理由として、以下の3点が挙げられます。
しかし、CSF2.0への改訂を経て「規模や業界を問わず使える汎用的なサイバーセキュリティの道しるべ」となりました。
今後、AI・クラウド利用やグローバル展開を見据える企業にとって、CSFの視点を取り入れることは「国際的に通用するセキュリティフレームワークにキャッチアップする」ことに繋がります。
すぐに全面導入する必要はありませんが、今から少しずつCSFの要素を組織に組み込むことが、将来の規制や取引要件に備える有効な一歩になるでしょう。
CSFは「コア(Core)」「ティア(Tier)」「プロファイル(Profile)」の3つの要素で構成されています。
コアはCSFで最も重要な要素であり、組織のサイバーセキュリティリスク管理に必要な概念を表します。コアは6つの機能に分けて定義され、それぞれに「カテゴリ → サブカテゴリ → 実装例・参考情報」が連なっています。
例えば「識別」の概要をかみ砕くと、「自組織内で守るべき情報資産をきちんと把握していますか?それに優先順位をつけていますか?」という問いかけになります。
ティアは「組織のセキュリティ対策がどの程度まで進んでいるのか」を可視化するための評価基準です。CSFでは4つのレベルに分けられています。
プロファイルは、現状分析(As-Is)と将来目標(To-Be)を立てるための目標設定シートです。
プロファイルがどれだけ成長するかが、CSFを使用した成果と言えます。
正直に言うと、私が最初にCSFの文書を読んだ感想は「何を言っているか分からない」でした。皆さんはいかがでしょうか?
ただし、これらの課題は「高い汎用性を持っていること」の裏返しでもあります。CSFを理解する上で重要なのは、「適切なセキュリティ対策情報にアクセスするための地図」というイメージを持つことです。
CSFは他のフレームワーク/ガイドラインと連携させて初めて真価を発揮します。
後編では、実際に実務でどのように活用していけばよいのかを解説していきます。