NTTデータ先端技術株式会社は3月11日、NISTサイバーセキュリティフレームワーク V2.0の変更点について、コラムで解説している。同社のサイバーセキュリティ事業本部 セキュリティイノベーション事業部 セキュリティコンサルティング担当 担当部長の戸田勝之氏が執筆している。
NIST(米国国立標準技術研究所)が策定したサイバーセキュリティフレームワーク(CSF)は、元々は米国連邦政府の重要インフラ向けに2014年に策定された文書であったが、内容の分かりやすさや時流に即した内容が、米国の民間企業や日本を含む他国のセキュリティの取り組みにも大きな影響を与えている。NISTでは2月26日に、V1.1からV2.0へバージョンアップしている。
CSFではサイバー攻撃によって侵入された前提で、国家レベルの文書においてセキュリティ活動を「特定」、「防御」、「検知」、「対応」、「復旧」の5つの機能に分類、それら5つの機能を構成する内容をカテゴリ/サブカテゴリに細分化し、著名なセキュリティ基準との関連づけを参照情報として明示していた。
V2.0へのバージョンアップでの大きな変更は下記の6点。
1. CSFは幅広い組織向けのフレームワークと位置付けられた
米国の重要インフラ向けから、世界中のあらゆる組織向けに
2. 新たな機能「ガバナンス」を追加
CSFを構成する機能に、ガバナンス(GOVERN:統治する、管理する)を新たに追加
3. サイバーセキュリティのサプライチェーンリスクマネジメントに重点
元々、特定の中の1カテゴリだったサプライチェーンリスクマネジメントを、ガバナンスの中の1カテゴリに
4. 新たに複数の他のフレームワークや文書に関連付けられる
下記文書がCSF2.0の各サブカテゴリに対する参考情報に
・NIST SP 800-218 Version 1.1(セキュアソフトウェア開発フレームワーク:SSDF)
・CIS Controls
・CRI Profile Version 2.0
・NIST SP 800-221A(情報通信技術(ICT)リスクに対する成果)
5. CSFの実行に関する参考情報やガイダンスを強化
CSF2.0の利用に役立つさまざまな参考情報をWebサイト上で公開
6. リスクガバナンスおよびリスクマネジメントの実践に関する階層(Tier)が見直されました
「サイバーセキュリティリスクガバナンス」、「サイバーセキュリティリスクマネジメント」の2つの観点において、達成指標となる階層(Tier)を明確に
戸田氏はCSF2.0への変更で、サイバーセキュリティの取り組みにおいてガバナンスの重要性、特にサプライチェーンセキュリティの重要性がクローズアップされたとしている。
