NIST CSF

セキュリティ事業部

NIST CSF

米国国立標準研究所(NIST)が政府や民間から意見を集め作成した、サイバーセキュリティ対策に関するフレームワークです。 CSF(Cyber Security Framework)という略称で知られ、日本でも多くの企業・組織がサイバーセキュリティ対策を向上させるための指針として参照しています。

正式名称は「重要インフラのサイバーセキュリティ対策を改善するためのフレームワーク」で、2014年2月に初版(バージョン1.0)が公開され、2018年4月に改訂版として、バージョン1.1が公開されています。原文は英語ですが、日本ではIPAよりNIST CSF翻訳版が公開⁽*¹⁾されています。

NIST CSFの構成

CSFは、「フレームワーク・コア」「フレームワーク・インプリメンテーション・ティア」「フレームワーク・プロファイル」 という3つの要素で構成されています。3要素を活用することで、個々の企業や他の組織が直面するリスクを評価分析がしやすくなります。

POINT
1 「フレームワーク・コア」:サイバーセキュリティの側面とアプローチに関する一覧
2 「フレームワーク・インプレメンテーション・ティア」:サイバーセキュリティリスクとその管理アプローチの高度さを数値化する為の評価基準(4段階)
3 「フレームワーク・プロファイル」:ニーズとリスク評価に基づいて、組織がカテゴリとサブカテゴリから選択した結果のリスト

 

POINT1 「フレームワーク・コア」

コアでは、業種・業態を問わない、共通となるサイバーセキュリティ対策を示しています。
「識別(Identify)」「防御(Protect)」「検知(Detect)」「対応(Respond)」「復旧(Recover)」の5つの機能、23のカテゴリーで構成される。カテゴリー毎に、サブカテゴリーが用意されており、サブカテゴリーの合計は108項目になります。

カテゴリー毎に、複数のサブカテゴリー及び、参考情報が紐づいているため、サイバーセキュリティ対策として取り組むべき具体的な対策項目として参考になります。

 

POINT2 「フレームワーク・インプレメンテーション・ティア」

ティアとは、企業がセキュリティのリスクをどのように捉えているか、 リスク管理にどのようなプロセスを実施しているかの段階

ティアの4段階の評価は以下の通りです。

ティア1:部分的である(Parial)
ティア2:リスク情報を活用している(Risk Informed)
ティア3:繰り返し適用可能である(Repeatable)
ティア4:適応している(Adaptive)

 

POINT3 「フレームワーク・プロファイル」

プロファイルは、サイバーセキュリティ対策の現在の状態(現在のプロファイル)と目指す目標の状態(目標のプロファイル)を記述するのに使用する。これらのプロファイルを比較することによって、サイバーセキュリティリスク管理上の目標を果たすために対処する必要があるギャップを明確化し、そのギャップを埋めるための行動計画を策定するのに役立てることが可能となる。

汎用的な定義・内容であるコアやティアとは異なり、プロファイルは各企業や組織毎の特性・戦略が大きく影響する要素であることから、NIST CSF では、プロファイルの考え方に関する記述はありますが、雛型などは提供されていません。そのため、セキュリティ担当者としての想定力・アレンジ力が試されるパートになります。

 

*1 IPA公開 NIST CSF翻訳:重要インフラのサイバーセキュリティを改善するためのフレームワーク

参考HP:IPA情報処理推進機構