NIST CSF 2.0とは?2024年改訂ポイントと実装ガイド

article

NIST CSF 2.0とは?2024年改訂ポイントと実装ガイド

Jump links

  1. NIST CSF 2.0の改訂

  2. NIST CSFの導入レベル

  3. NIST CSFの実装手順

  4. NISTサイバーセキュリティフレームワークの開始

  5. NIST サイバーセキュリティフレームワークのユース ケース

  6. NISTがSailPointを技術協力ベンダーの1社に選定

  7. NIST サイバーセキュリティフレームワークの例

NIST(ニスト)とは、米国国立標準技術研究所という米国の政府機関で、科学技術分野における計測と標準化に関する研究を行っています。現代の企業が直面しているサイバー攻撃に対して、NISTはフレームワークの策定を行うことで、世界中の企業や組織にガイドラインを提供しています。

National Institute of Standards and Technologyの頭文字を取ってNISTと呼ばれています。

NIST CSF 2.0の改訂

NIST CSF 2.0は、2024年2月に行われたNISTサイバーセキュリティフレームワークの大規模な改訂によって策定されました。このアップデートの主な目的は、次のとおりです。

  • NIST プライバシー フレームワーク、NIST リスク管理フレームワーク(RMF)、NIST セキュア ソフトウェア開発フレームワーク(SSDF)などの他のNIST フレームワークとの連携と統合
  • NIST CSFの適用範囲を、重要インフラから、業種、規模、成熟度を問わずすべての組織にまで拡大
  • サプライ チェーン リスク、サイバー セキュリティ ガバナンス、実装の重視
  • 組織がニーズに合わせてフレームワークをカスタマイズし、リスクに基づいてアクションの優先順位を決定し、計画から実行へとより容易に移行することに対する支援

NIST CSFがサイバー セキュリティの標準に

NIST サイバーセキュリティフレームワークは当初、米国の重要インフラのセキュリティ向上を目的としていました。その後、トランプ大統領が2017年に発令した大統領令により、すべての連邦情報システムのセキュリティを規制するための必須規格として、NIST サイバーセキュリティフレームワークを採用しました。

NIST サイバーセキュリティフレームワークに記載されているベストプラクティス、標準、レコメンデーションは、非連邦政府機関やプロバイダーには必須ではありませんが、サイバー攻撃の特定、検知、対応にも広く利用されています。

さらに、このフレームワークのガイドラインは、攻撃の防止と復旧にも活用されています。NIST サイバーセキュリティフレームワークを活用することで、非連邦政府機関はシステムの最適なセキュリティを確保し、セキュリティへの取り組みを国民に明確に示すことができます。

このフレームワークは、サイバー セキュリティ リスクの優先順位付けと軽減のための成果を規定しています。カテゴリとサブカテゴリには、セキュリティ対策やインシデント対応計画をサポートする、より具体的な技術的および管理的な成果が含まれています。

NIST CSF 2.0への道のり

NIST CSF 2.0への道のりは、10年間にわたるサイバー セキュリティの課題の進化とそこから得られた教訓を反映しています。NIST CSF 2.0は、より包括的でリスク情報に基づいたサイバー セキュリティへのアプローチをサポートします。サイバー レジリエンスを強化するために特別に設計されたものではありませんが、組織がサイバー レジリエンスを理解して評価し、セキュリティ対策をビジネス目標とより適切に整合させるのに役立ちます。

NIST CSFの5つの枠組みに「統制」が追加

オリジナルのNIST サイバーセキュリティフレームワーク(CSF)で確立された5つのコア機能は、バージョン1.0とバージョン2.0の間で変更はなく、識別、防御、検知、対応、復旧としてそのまま引き継がれています。一方、NIST CSF 2.0では新たなコア機能として、統制が追加されています。新しい統制の機能は、サイバー セキュリティ リスク管理におけるガバナンスの重要性を強調するために追加されました。

統制とは?
サイバー セキュリティのリスク管理戦略、期待値、ポリシーを確立、伝達、および監視します。この機能には以下が含まれます。

  • 組織の状況(GV.OC)
  • リスク管理戦略(GV.RM)
  • 役割、責任、権限(GV.RR)
  • ポリシー(GV.PO)
  • 監視(GV.OV)
  • サイバー セキュリティ サプライ チェーン リスク管理(GV.SC)

SailPoint Identity Securityで、NIST CSF 2.0に準拠したセキュリティ強化を実現

NIST CSFの導入レベル

NIST サイバーセキュリティフレームワークの実装セクションには、組織がNIST制御の実装をどの程度進めているかや、サイバー セキュリティ リスク管理業務がガイドラインにどの程度厳密に準拠しているかを示す4つのティア(階層)が含まれています。

  • ティア1 – 部分的
    ティア1に属する組織は、サイバー セキュリティに関する調整やプロセスを取り入れていない状態です。ティア1の組織はサイバー セキュリティを優先事項に入れていません。
  • ティア2 – リスク認識
    NIST サイバーセキュリティフレームワークのティア2に属する組織は、いくつかのリスクを認識しており、コンプライアンス要件を満たすためにそれらへの対応を計画しています。しかし、こうした努力にもかかわらず、ティア2の組織は、すべてのセキュリティ上の懸念事項に対する十分迅速な認識や対処が得られていない状態です。
  • ティア3 – 再現可能
    ティア3に属する組織は、明確に定義され、定期的に反復可能なサイバー セキュリティ プロセスを備えています。これらの組織は、リスク管理とサイバー セキュリティのベスト プラクティスの実装について経営陣のサポートを受けています。ティア3に到達している組織は、サイバー セキュリティ リスクと脅威に対処するだけでなく、自社環境内の脆弱性の特定と修復を行う体勢が整っています。
  • ティア4 – 適応
    NIST サイバーセキュリティフレームワークの最上位層であるティア4に属する組織は、サイバー セキュリティ対策の積極的な実装およびアップグレードを行います。このような組織は、高度な適応型サイバー セキュリティ プラクティスを用いて、リスクの高い行動やイベントを継続的に評価し、脅威が発生する前に防御または適応します。

NIST CSFの実装手順

NIST サイバーセキュリティフレームワークの実装には、一連の戦略的および運用的な手順が含まれます。このプロセスは、あらゆる規模と業種の組織で使用できるように柔軟に設計されています。NIST CSFを導入するための主な手順は次のとおりです。

  1. リーダーシップとガバナンスの確立。これには以下が含まれます。
    o 主要な利害関係者の特定および経営陣の承認の獲得
    o サイバー セキュリティ ガバナンスの役割と責任の定
    o ビジネス目標に沿ったサイバー セキュリティ ポリシー、リスク許容度、目標の設定
  2. 組織の状況の理解。これには以下が含まれます。
    o 重要な資産、データ、システム、ビジネス プロセスの特定
    o 内部および外部の脅威、脆弱性、法的/規制要件の理解
  3. CSFプロファイルの作成。これには以下が含まれます。
    o 組織のサイバー セキュリティの現状と目標とする状態の説明
    o 指針としての該当するコミュニティ プロファイルの確認
  4. ギャップ分析の実施。これには以下が含まれます。
    o 現在のプロファイルと目標プロファイルの比較
    o CSFの機能、カテゴリ、およびサブカテゴリにおけるギャップの特定
  5. アクションプランの策定および実施。これには以下が含まれます。
    o マイルストーン、タイムライン、役割、責任を定めたロードマップの作成
    o 特定されたギャップを埋めるためのセキュリティ制御、プロセス変更、またはテクノロジー アップデートの実施
    o NIST CSFに記載されている実装例の活用
  6. 測定と監視。これには以下が含まれます。
    o 目標プロファイルに向けた進捗状況を追跡するための指標とKPIの定義
    o 脅威、脆弱性、および制御の有効性の継続的な監視 o 組織および脅威の状況の変化に応じた戦略と制御の調整
  7. 定期的なコミュニケーションとレビュー。これには以下が含まれます。
    o 経営陣、利害関係者、およびチームとの進捗状況と最新情報の共有
    o NIST CSFプロファイルの定期的な再評価(特にビジネスまたはIT上の大幅な変更、セキュリティ インシデント、または規制の更新があった後)

NISTサイバーセキュリティフレームワークの開始

NISTサイバーセキュリティフレームワークは、米国で最も広く採用されているサイバー セキュリティ フレームワークの1つです。しかし、導入には労力を要します。コア機能の理解と実装計画の策定に加えて、関連するコミュニティ プロファイルや他のNIST CSF実装事例を確認することも重要です。

NIST サイバーセキュリティフレームワークのユース ケース

NIST サイバーセキュリティフレームワーク(CSF)の一般的なユース ケースには、以下の指針としての使用が含まれます。

  • リスク管理 – サイバー セキュリティリスクを特定、評価、優先順位付けすることで、情報に基づいた意思決定とリソース配分を可能にする方法
  • サイバー セキュリティ プログラムの開発 – サイバー セキュリティ プログラムを構築または強化するための基盤であり、セキュリティ活動をビジネス目標と整合させるもの
  • コンプライアンスと規制への適合 – コンプライアンスへの取り組みを簡素化するために、サイバー セキュリティ プラクティスを様々な標準(NIST SP 800-53、ISO/IEC 27001など)にマッピングする
  • サプライ チェーンのリスク管理サード パーティおよびベンダーのリスクを評価および管理する方法
  • コミュニケーション – 技術チーム、経営幹部、利害関係者間の明確なコミュニケーションを共通の言語がサポート
  • 継続的改善 – 成果重視のアプローチで、進捗状況を測定し、変化する脅威に適応し、時間をかけてサイバー セキュリティ体制を成熟

NISTがSailPointを技術協力ベンダーの1社に選定*

NISTが進める官民連携の組織、NCCoE(National Cybersecurity Center of Excellence)は2021年7月、ゼロトラストアーキテクチャを実証する技術協力ベンダー18社を発表し、SailPointテクノロジーズはその中の1社として選出されました。

このプロジェクトでは、SP 800-207に記載された理念・原則に則ったゼロトラストアーキテクチャ設計を目的とし、SailPointは実用的な運用に向けたアプローチの開発協力を行います。

*出典:https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture

NIST サイバーセキュリティフレームワークの例

NISTは、NIST サイバーセキュリティフレームワークに加えて、リスク評価、アイデンティティ アクセス制御、防御技術の管理、サイバー セキュリティ イベントやインシデントへの対応など、特定のサイバー セキュリティ リスク管理分野に焦点を当てた200以上の特別出版物を発行しています。最も頻繁に使用されるNIST サイバーセキュリティフレームワーク出版物の例を以下に示します。

NIST SP 800-30

リスク評価の実施ガイドであるNIST SP 800-30は、サイバー リスクの評価と管理に関するガイダンスを提供します。業界のレコメンデーションと標準に基づいた制御と制御基準が含まれています。NIST SP 800-30は、組織がリーダーシップ チームが理解しやすい方法でサイバー リスクを提示するのにも役立ちます。

NIST SP 800-37

NIST SP 800-37「情報システムおよび組織のためのリスク管理フレームワーク:セキュリティとプライバシーのためのシステム ライフ サイクル アプローチ」は、リスク管理フレームワーク(RMF)について説明するものです。また、RMFを情報システムおよび組織に適用するためのガイドラインも提供しています。NIST SP 800-37には、セキュリティとプライバシーのリスクを管理するための詳細な6段階のプロセスが含まれています。

NIST SP 800-53

NIST SP 800-53「情報システムおよび組織のためのセキュリティとプライバシーの制御」は、NIST サイバーセキュリティフレームワークの実装に必要な制御を提供するものです。NIST SP 800-53には、20の制御ファミリーにわたる1,000を超える制御が含まれています。

NIST 800-53に規定されているセキュリティ制御を実施することで、組織はFISMA(フィスマ)のセキュリティ要件を満たすことができます。さらに、NIST 800-53制御の実施は、サプライ チェーン内のすべての連邦政府機関および組織に義務付けられている、連邦情報処理規格200(FIPS 200)の要件も満たします。

NIST SP 800-122

NIST SP 800-122「個人を特定できる情報(PII)の機密性保護に関するガイド」は、PII(個人を特定できる情報)の取り扱いに関するレコメンデーションを示すものです。PIIを識別するための実用的で状況に基づいたガイダンスを提供しています。

NIST SP 800-122は、各インスタンスに適切な保護レベルを決定するためのガイドであり、推奨される安全対策も示すものです。さらに、NIST SP 800-122は、PIIに関連する侵害に対する対応計画の策定に関する指針も提供しています。

NIST SP 800-125

NIST SP 800-125「完全仮想化技術のセキュリティガイド」は、完全サーバーおよびデスクトップ仮想化技術に関連するセキュリティ上の課題に対処するためのレコメンデーションを提供するものです。NIST 800-125は、政府機関向けの仮想化を定義し、仮想システムのセキュリティ強化とプロビジョニングに関する要件を概説しています。

NIST SP 800-171

NIST SP 800-171「非連邦システムおよび組織における制御された非機密情報の保護」は、米国国防総省(DoD)と契約するすべての組織に遵守が義務付けられています。この規定は、DoDの契約社員であり、制御された非機密情報(CUI)を処理、保管、または伝送するすべての非連邦情報システムおよび組織を対象としています。NIST SP 800-171に基づき、これらの組織はDoDとの契約を維持するために、国防総省調達規則補足(DFARS)で定められた最低限のセキュリティ基準を満たす必要があります。

NISTIR 8170

NISTの別の出版物であるNISTIR 8170「連邦政府機関がサイバー セキュリティ フレームワークを使用するためのアプローチ」では、NIST サイバーセキュリティフレームワークを使用するための8つのアプローチについて詳しく説明しています。

  1. 普遍的に理解されるリスク用語を用いたコミュニケーションにより、企業とサイバー セキュリティのリスク管理を統合します。
  2. 要件の統合と優先順位付けを可能にする構造を使用して、サイバー セキュリティ要件を管理します。
  3. 要件と優先順位を共通の簡潔な言語で伝えることで、サイバー セキュリティと取得のプロセスを統合および調整します。
  4. 標準化されたわかりやすい測定スケールと自己評価基準を使用して、組織のサイバー セキュリティを評価します。
  5. どのような結果に共通制御が必要かを判断し、それらの結果に対する作業と責任を割り当てることで、サイバー セキュリティ プログラムを管理します。
  6. 標準的な組織構造を使用して、サイバー セキュリティ リスクに関する包括的な理解を維持します。
  7. 普遍的で理解しやすい構造を使用してサイバー セキュリティ リスクを報告します。
  8. サイバー セキュリティ要件の包括的な調整を使用して、カスタマイズ プロセスに情報を提供します。
  9. 免責事項:この記事に記載されている情報は情報提供のみを目的としており、いかなる法的助言も提供するものではありません。SailPointはそのような助言を行うことはできません。該当する法的問題については、弁護士にご相談されることをお勧めします。

FAQ

NIST サイバーセキュリティフレームワークに関するFAQ

NISTの6つの原則とは何ですか?

NIST サイバーセキュリティフレームワークは、堅牢なサイバー セキュリティとリスク管理を確保するための適用と実装の指針となる6つのコア原則に基づいて構築されています。

1. 優先順位付け – リソースを効果的に割り当て、組織内の最も重要な資産と脆弱性を理解することの重要性を強調します。

2. 評価 – 既存のセキュリティ対策を評価し、対処する必要があるギャップや弱点を特定します。

3. リスク管理戦略の実装 – 特定されたリスクを軽減し、組織全体に積極的なセキュリティ文化を確立します。

4. 情報フローの作成 – 内部と外部の両方で情報共有の循環プロセスを開発し、潜在的な脅威と対応についての包括的な理解を促進します。

5. 継続的な改善 – 進化する脅威や技術の進歩に対応して、サイバー セキュリティ対策を定期的に更新および改良します。

6. 学習の原則 – 過去のインシデント、業界の発展、ベスト プラクティスから積極的に学習しようとし、洞察をセキュリティ プロトコルに組み込んで将来の回復力を強化します。


6つのNIST サイバーセキュリティフレームワークとは何ですか?

6つの主要なNIST サイバーセキュリティフレームワークは、サイバー セキュリティ、プライバシー、リスク、コンプライアンスの様々な側面をサポートしており、包括的なサイバー セキュリティ プログラムを構築するために、多くの場合は組み合わせて使用されます。

1. NIST AIリスク管理フレームワーク(AI RMF)– 組織が人工知能システムに関連するリスクを管理する上で役立ちます

2. NIST サイバーセキュリティフレームワーク(CSF)– サイバー セキュリティ リスクを管理するための高レベルで柔軟なアプローチを提供します

3. NISTプライバシー フレームワーク – プライバシー リスクの管理に特化してCSFを補完します

4. NISTリスク管理フレームワーク(RMF)– 連邦政府機関と契約社員のリスク管理をガイドします

5. NISTセキュア ソフトウェア開発フレームワーク(SSDF)– ソフトウェア開発ライフサイクル(SDLC)のすべてのフェーズにセキュリティを統合するためのベスト プラクティスを提供します

6. NISTサプライ チェーン リスク管理業務 – サプライ チェーンにおけるサイバー セキュリティ リスクの管理に関するガイダンスを提供します

NISTの7つのステップとは何ですか?

NISTの7つのステップとは、2004年に発表されたオリジナルのNISTリスク管理フレームワーク(RMF)における手順を指すものです。このフレームワークは2018年のNISTで更新され、ステップが追加されました。

1. 準備

2. 分類

3. 選択

4. 実装

5. 評価

6. 認可

7. 監視

NIST サイバーセキュリティフレームワークはどのようにセキュリティを強化しますか?

サイバーセキュリティフレームワーク(CSF)2.0は、産業界、政府機関、学術機関、非営利団体など、あらゆる規模と業種の組織がサイバー セキュリティ リスクを管理および軽減できるように設計されています。NIST サイバーセキュリティフレームワークは、セキュリティ意識と準備態勢の向上を支援することで、組織が重要なシステムとデータを保護するのに役立ちます。この柔軟なモデルは、組織が以下の点を改善できるようにすることで、セキュリティの向上を支援します。

  • 組織全体に新しい要件を伝達する
  • プロファイルを作成することで、実装済みのサイバー セキュリティ対策の現在のレベルを把握する
  • サイバー セキュリティを強化するための、新しいサイバー セキュリティ標準とポリシーの候補を特定する
NIST サイバーセキュリティフレームワークの認定資格はありますか?

NIST サイバーセキュリティフレームワーク全体に対する資格はありませんが、NIST サイバーセキュリティ実装の資格はあります。資格は、NISTのベスト プラクティスを活用して、堅牢なサイバー セキュリティをサポートするために必要な構造、ガバナンス、ポリシーを実装する組織の能力を証明します。

NIST サイバーセキュリティフレームワークの3つの部分とは何ですか?

NIST サイバーセキュリティフレームワークは、コア、実装、およびプロファイルとティアという3つの部分で構成されています。これらの目的は、組織内のサイバー セキュリティ リスクの戦略的な視点を提供することです。

  • CSFフレームワーク コア – これはサイバー セキュリティ活動、求められる成果、および適用可能な参照資料のセットであり(定義済みのチェックリストではありません)、4つのカテゴリに分類されます 1. 機能 – 統制、識別、検出、防御、対応、復旧 2. カテゴリ – 項目の指定(ソフトウェア更新の実施、ウイルス対策およびマルウェア対策プログラムのインストール、「保護」機能を実行するためのアクセス制御ポリシーの策定など) 3. サブカテゴリ – カテゴリに関連付けられた項目(システムの自動更新を有効化して「ソフトウェア更新の実施」カテゴリをサポートするなど) 4. 情報源 – 様々な機能、カテゴリ、サブカテゴリに定められたタスクの実行方法を説明した補足資料
  • CFSプロファイル – 組織の現在のサイバー セキュリティ対策と目標とするサイバー セキュリティ対策を説明し、戦略的セキュリティ ロードマップの要件定義を支援します。これには以下の内容が含まれます。 o 現在のプロファイル – 中核となる成果を指定 o 目標プロファイル – 求められる成果を指定 o コミュニティ プロファイル – 目標設定と実現を促進するために、様々な部門向けに作成された複合プロファイル
  • CFSティア – 組織がNISTによる制御をどの程度実装しているかを記述します o ティア1 – 部分的 o ティア2 – リスク情報に基づく o ティア3 – 反復可能 o ティア4 – 適応型
NIST特別出版物とは何ですか?

NIST特別出版物は、多くの場合、特定のトピックを明確にするために、主題領域の詳細な仕様を提供します。NISTには、ガイドライン、レコメンデーション、参考資料などを含む数百の特別出版物があります。これらは以下の3つのカテゴリに分類されます。

1. SP 500 – 情報技術(関連文書)

2. SP 800 – コンピューター セキュリティ

3. SP 1800 – サイバー セキュリティ実践ガイド

NIST サイバーセキュリティフレームワークへの準拠は必須ですか?

連邦政府機関および連邦政府機関のサプライ チェーンに属するすべての組織は、準拠が必須です。その他のすべての組織は、準拠が推奨されますが、任意です。

NIST SP 800-53とFISMAの関係は何ですか?

NIST SP 800-53「連邦情報システムのセキュリティとプライバシー制御」への準拠は、9段階のチェックリストを用いることで、組織がFISMA(フィスマ)の要件を満たすのに役立ちます。

1. 保護が必要なデータと情報システムを分類します。

2. 情報の保護に必要な最小限のセキュリティ制御について、適切なセキュリティ制御のベースラインを策定します。

3. セキュリティ制御を評価し、ベースライン制御の改良範囲を決定し、それらが正しく実装され、意図したとおりに動作し、組織のセキュリティ要件を満たしていることを確認します。

4. ベースライン制御の設計、開発、実装の詳細をセキュリティ計画に文書化します。

5. セキュリティ制御を実装します。

6. 実装された制御のパフォーマンスを監視します。

7. セキュリティ制御の評価に基づいてリスクを判断します。

8. 特定されたリスクが許容可能と判断された場合、情報システムの処理を承認します。

9. 情報システムおよび環境におけるセキュリティ制御の有効性、システムまたは環境への変更、およびコンプライアンスを管理するため、継続的な監視を実施します。

ISO 27001フレームワークとは何ですか?

ISO 27001フレームワークは、組織内で情報セキュリティ管理システム(ISMS)の確立、実装、維持、および継続的な改善を目的として設計された国際規格です。この包括的なフレームワークは、企業の機密情報を安全に保つための体系的なアプローチを規定しています。これには、情報セキュリティに関連するリスクを管理するための、人、プロセス、テクノロジーに関するポリシー、プロセス、制御が含まれます。

NIST サイバーセキュリティフレームワークとISO 27001の違いは何ですか?

NISTとISO 27001の3つの違いは次のとおりです。

1. 資格
NIST サイバーセキュリティフレームワークは、外部の認証を必要としない自己申告型のフレームワークです。ISO 27001は、サード パーティ監査に基づく世界な認定資格を提供します。

2. コスト
NIST サイバーセキュリティフレームワークは無料です。ISO 27001ドキュメントにアクセスするには、組織に料金が請求されます。

3. ユース ケース
NIST サイバーセキュリティフレームワークは、サイバー セキュリティ リスク管理戦略の策定、特定の脆弱性への対処、データ侵害への対応を行う組織に最適です。ISO 27001は、成熟したサイバー セキュリティ プログラムを備え、セキュリティの信頼性を強化するためにISO認証を取得しようとしている組織に最適です。

Date: 2025年5月7日Reading time: 6 minutes
セキュリティ

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ