進化を続けるサイバーセキュリティの世界では、あらゆる企業全体において、リスクや脅威の先手を打つことが最も重要になります。
NIST(National Institute of Standards and Technology)が定義するCSF(Cyber Security Framework)2.0は、企業の規模やサイバーセキュリティの成熟度に関係なく、あらゆる事業分野に対応できるように設計されており、サイバーセキュリティリスクを管理するために構造化された、最新の包括的なフレームワークとなっています。
本記事では、NIST CSF2.0の概要やその導入による具体的なメリット、導入ステップについて解説します。
1.NIST CSF2.0とは
今回改訂されたNIST CSF2.0は、サイバーセキュリティフレームワークとして、サイバーセキュリティリスクの管理、およびリスク軽減のための包括的な取組みにおいて大幅な改訂が実施されました。
従来のバージョンと比較して、管理対象となる範囲の拡大、機能の追加、国際標準への整合など新しい「ガバナンス」の概念が導入されており、変化に柔軟に対応できるサイバーセキュリティ体制を構築するための包括的なフレームワークとなっています。このフレームワークの導入により、企業全体としてサイバーセキュリティのリスクをより効果的に管理できるだけでなく、ステークホルダーに対して、サイバーセキュリティへの取組みに関する透明性を確保するための指針として役立てることができます。
サイバーセキュリティの脅威が進化し続ける以上、脅威から身を守るためのアプローチを追随していく必要があります。NIST CSF2.0は、複雑化するサイバー攻撃において、より安全な道筋を提供する強力なツールと言えます。
2.NIST CSF2.0の主な改定ポイント
サイバーセキュリティへの「ガバナンス」の追加
NIST CSF2.0には、フレームワークの機能として新たに「ガバナンス」が追加されました。企業全体のサイバーセキュリティリスク戦略を強化するために、トップダウンアプローチの必要性を強調しています。「ガバナンス」においては、マネジメント層が関与したリスク管理戦略、役割、責任、権限、および管理範囲を明確にすることを重要視しています。また、NIST CSF2.0ではサイバーセキュリティリスク管理に加え、NISTプライバシーフレームワークとの併用が推奨されています。
サプライチェーンリスク管理
新たな「ガバナンス」では、サイバーセキュリティにおけるサプライチェーンリスク管理に重点を置いており、サプライヤー、顧客、その他のビジネスパートナーの間で適切な管理またはコントロールが確実に実装されることを目的としています。サプライチェーンリスク管理におけるスコープは、管理手法および管理プロセスの確立、各ステークホルダー間の役割と責任の明確化、重要度に基づくサプライヤーの優先順位付け、契約前のデューデリジェンスの実施、およびサプライチェーンインシデント対応計画の作成等が含まれます。
CSF実装に関するガイダンス
NIST CSF2.0に規定されているコントロールの実装を実現するために、実装ガイダンスには具体的な例が示されています。また、NIST CSF2.0には、企業のサイバーセキュリティの成熟度を評価し、目標の成熟度レベルに向けた道筋を示すためのツールとして、CSFプロファイルが導入されています。
従来のバーションとの項目比較
前述のように、新たに「ガバナンス」の機能が追加され、それに伴い、他の機能のカテゴリーやサブカテゴリーにおいても見直し(移動・削除・集約など)が行われました。
【NIST CSF1.1(改定前)】
【NIST CSF2.0(改定後)】
3.NIST CSF2.0の導入メリット
NIST CSF2.0の導入は、サイバーセキュリティ対策への投資と戦略的な意思決定における優先順位付けの支援、予測および潜在的なインシデント対応の強化、複雑なサイバーセキュリティリスクの簡素化など、企業全体に多くのメリットをもたらします。
サイバーセキュリティ投資の優先度を可視化
IT環境におけるリスクの高い領域を特定し、より効果的なセキュリティ対策の導入を支援します。
サイバーセキュリティレジリエンスを強化
体系的かつ総合的なサイバーセキュリティフレームワークにより、サイバーセキュリティコントロールの堅牢性を強化し、サイバー攻撃や内部不正に対する耐性と対応力を向上させます。
複雑なサイバーセキュリティリスクの管理
企業全体のサイバーセキュリティ成熟度を評価し、同業他社との比較も可能にします。
4.NIST CSF2.0の導入ステップ
NIST CSF2.0の導入には、以下のステップがあります。
(1)評価
現在のサイバーセキュリティ体制を徹底的に評価し、NIST CSF2.0を基に評価結果を分析します。
(2)計画
企業全体の現状と目標とするサイバーセキュリティ体制のマッピングや比較を行い、成熟度評価を基に目指すべき基準への戦略的計画を策定します。
(3)導入
サプライチェーンのリスク管理、プライバシー保護、インシデント対応など、改訂により拡大した重点分野において戦略計画を実行します。
(4)ガバナンス
サイバーセキュリティのリスク管理を、事業全体のリスク管理フレームワークに組み込み、経営層を含めたマネジメント層による企業横断的なセキュリティガバナンスを構築します。
(5)継続的な改善
継続的なセキュリティ評価、見直しを行い、サイクルのなかで見直すべき方法や手法を適用し、改善強化に向けた継続的なライフサイクルを維持します。
これらのステップに沿ってNIST CSF2.0をサイバーセキュリティのリスク管理手法に組み込むことで、企業の全体的なセキュリティ体制を強化することができます。
5.NIST CSF2.0導入時の課題とアプローチ
NIST CSF2.0への導入時には、以下のような課題に直面する可能性があります。
リソースの割当て
導入に向けた、十分な予算とリソースの確保
教育と意識
従業員、サプライヤー、パートナーに対するサイバーセキュリティのリスクと必要性、重要性についての教育
既存の対策およびシステムとの統合
NIST CSF2.0と現行のサイバーセキュリティ対策および既存システムとのシームレスな統合
これらの課題を克服するためには、以下の対策を講じることが推奨されます。
対応の優先順位付け
影響が大きく、早急な対応が必要な領域に重点をおいて推進すること
マネジメント層の関与
導入を推進するために経営層や管理職のサポートを得ること
効果的なコミュニケーション
すべてのステークホルダーにNIST CSF2.0の変更点とメリット、効果を丁寧に伝え、共通認識を持つためのコミュニケーションを強化すること
専門知識を活用
導入プロセスについて、サイバーセキュリティの専門家と相談すること
6.KPMGによる支援
KPMGは、企業全体におけるNIST CSF2.0に基づいたサイバーセキュリティの成熟度評価支援、および成熟度レベルを向上させるためのコントロール実装支援を提供しています。
具体的な支援内容は以下のとおりです。
サイバーセキュリティの成熟度評価
ガバナンス、識別、防御、検知、対応、復旧の各機能における現在の成熟度を評価し、サイバーセキュリティプロセスとコントロールのレビュー、および改善が必要な領域を特定します。
推奨されるセキュリティグランドデザイン
セキュリティを強化するために、改善すべきアーキテクチャとシステム、運用に関する包括的なアドバイスを提供します。
技術実装支援
セキュリティソリューションベンダーと協力し、企業全体の資産保護、およびサイバーセキュリティ全体の成熟度を高めるソリューションの技術実装支援を行います。
サイバーインシデント管理サービス
企業全体のサイバーインシデント対応能力を強化し、インシデント発生時の影響を最小限に抑えることができるよう支援します。
(1)サイバーインシデント管理コントロールの確立、強化、およびテストに関する支援(サイバー演習やインシデント対応プレイブックの作成等)
(2)オンデマンドでのインシデント管理とデジタルフォレンジックの実施
(3)インシデント発生時の対応サービス(改善支援やフォローアップサービスなども含まれます)
【NIST CSF2.0が構築するフレームワークのイメージ】
KPMGは、NIST CSFに準拠したサイバーセキュリティ成熟度評価を実施するための豊富な専門知識を有しています。金融、製造、情報インフラ、医療、小売、運輸、官公庁、公共事業、公共交通機関など、さまざまな業界において支援実績があります。
執筆者
KPMGコンサルティング
マネジャー 遠藤 瑞穂
