米NIST がサイバーセキュリティ フレームワーク 2.0(CSF 2.0) をリリース
2024/03/13
米国国立標準技術研究所(NIST)は、サイバーセキュリティ・リスクを低減するためのガイダンス文書、「サイバーセキュリティ・フレームワーク(CSF)」を更新した。
国家サイバーセキュリティ戦略の実施を支援する、この”CSF 2.0”は、病院や発電所のような重要インフラの保護にとどまらず、あらゆるセクターの全ての組織へと対象を拡大しており、組織がサイバーセキュリティ戦略に関する情報に基づいた意思決定をどのように行い、実行するかを包含するガバナンスにも新たに焦点が当てられている。
NISTのアプライド・サイバーセキュリティ部門のケビン・スタイン氏は、「利害関係者と緊密に協力し、最新のサイバーセキュリティ上の課題や管理手法を反映して開発されたこの更新版は、米国内外の幅広いユーザーにとって、より適切なフレームワークとなることを目指している」と話す。
大統領令に従い、NISTは、組織がサイバーセキュリティ・リスクを理解し、低減し、コミュニケーションすることを支援するために、2014年に初めてCSFを発表した。現在、CSFの中核は、6つの重要な機能、Identify(識別)、Protect(保護)、Detect(検知)、Respond(対応)、Recover(回復)、そしてCSF 2.0 で新たに追加された Govern(ガバナンス)という機能毎に整理されている。これらの機能を合わせて考えることで、サイバーセキュリティ・リスク管理のライフサイクルを包括的に捉えることが可能だ。また新規にCSFを導入する組織は、他のユーザーの成功事例から学ぶことが可能であり、中小企業、企業のリスク管理者、サプライチェーンの安全性を確保しようとする組織などの導入事例及びクイックスタートなど関心のあるトピックを参考にすることができる。
さらに、CSF 2.0 は、現在の行動が CSF にどのようにマッピングされるかを示す、参考文献の検索可能なカタログを提供する。このカタログによって、組織は、特定のサイバーセキュリティの成果を達成するためのツール(SP 800-53 Rev. 5 など)、NIST の他の文書を含む 50 以上の他のサイバーセキュリティ文書とCSF のガイダンスを相互参照することができる。
CSF は国際的に広く使用されており、バージョン 1.1 及び 1.0 は 13 の言語に翻訳されている。これらの翻訳は、NIST の拡大する CSF リソースのポートフォリオに追加される予定である。過去 11 年間にわたり、NIST は国際標準化機構(ISO)と協力し、国際電気標準会議(IEC)と連携して、複数のサイバーセキュリティ文書の整合を図ってきた。このISO/IEC の連携によって、組織はサイバーセキュリティのフレームワークを構築し、CSF の機能を使用して管理策を整理することが可能となった。NIST は、今後もISO/IEC と協力して、この国際的な整合を継続する計画である。
シェア
ツイート
noteで書く
