セキュリティー

NISTサイバーセキュリティー・フレームワーク2.0の解明

タブレット・コンピューターを使用して分析し、人工知能ソフトウェアを進める方法について話し合う2人の創造的な若い女性と男性のエンジニアのポートレート。ハイテク研究室の立場

NISTフレームワーク(CSF)は、ビジネス要因に焦点を当てた共通の言語を用いてリスク管理を改善し、 サイバーセキュリティーを強化します。

NIST CSF 1.0は2014年2月に、バージョン1.1は2018年4月にリリースされました。2024年2月、NISTは最新のCSFイテレーションである2.0をリリースしました。CSF 2.0へのプロセスは、2022年2月の情報提供請求(RFI)から始まりました。その後2年間にわたり、NISTはサイバーセキュリティー・コミュニティーと関わり、分析、ワークショップ、コメント、草案改訂を通じて既存の基準を改良し、進化するセキュリティーの課題を反映した新しいモデルを作成しました。

CSFの中核はそのままですが、新しいバージョンにはいくつかの注目すべき機能が追加されています。ここでは、新しいフレームワーク、それがオペレーションに与える影響、ITチームがCSFバージョン2.0を日常業務に効果的に適用する方法について企業が知っておくべきことを説明します。

NIST 2.0の新機能:Govern機能

1つ目は、独自のNISTフレームワークの5つの機能である特定、保護、検知、対応、復旧を支える「Govern」機能の導入です。オリジナルのCSF 1.0ドキュメントに記載されているように、「これらの関数は、シリアル・パスを形成したり、静的な望ましい最終状態に導くことを意図していない。むしろ、機能を同時に継続的に実行することで、動的なセキュリティー・リスクに対処する運用文化を形成することができるのです。」

結果として、機能は中心のCSTフレームワークを囲む5つの円として示されることがよくあります。それぞれの機能は次の機能につながり、他の機能から独立した機能はありません。

NIST CSF 2.0では、これらの機能は維持されていますが、5つの外側の機能の下にある完全な内部組織としてGovernが追加されています。Governでは、他の機能がビジネス・ニーズに合致し、運用チームによって定期的に測定され、セキュリティー責任者によって管理されるようにすることに重点を置きます。

言い換えれば、Governはセキュリティーに関する会話にリーダーシップを取り入れることを目指しています。これはすでにほとんどの企業で起こっていますが、CSF 2.0ではそれが優先事項となっています。

IBMニュースレター

The DX Leaders

AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。登録の際はIBMプライバシー・ステートメントをご覧ください。

ご登録いただきありがとうございます。

ニュースレターは日本語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。

拡張されたベスト・プラクティス

最初の2つのCSFバージョンでは、重要なインフラストラクチャーを優先していました。他の業種・業務や機関もこのフレームワークを採用していますが、主に重要なインフラストラクチャー分野におけるサイバーセキュリティーの影響を軽減するために設計されました。

しかし、このフレームワークが広範に採用されたことで、慣行とプロセスがあらゆる分野や業界の公共組織や民間組織に適用されることが明らかになりました。その結果、NIST CSF 2.0は、あらゆる規模や種類の企業に広く適用できるベスト・プラクティスを提供します。

たとえば、新しいCSFでは、すべての企業に対して、現在のサイバーセキュリティー体制と目標とするサイバーセキュリティー体制を説明する組織プロファイルを作成することを推奨しています。これにより、企業は目標を設定し、それらの目標を達成するために必要な実践を定義できます。新しいフレームワークでは、コミュニティー・プロファイルの役割も強調されています。これらのプロファイルは、同じセクターまたはサブセクターを占有している、同様のテクノロジーを使用している、または同様のタイプの脅威を経験する複数の組織で共有されるサイバーセキュリティーの利益と目標に取り組むために作成されます。

オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。

新しいNISTガイドラインを最大限に活用

新しいNIST CSFは、ガバナンスの強化とベスト・プラクティスの拡張に焦点を当てているため、企業のセキュリティー強化とリスク軽減に役立ちます。このフレームワークを効果的に実装する上で、組織は4つのアプローチからメリットを得ます。

1. 利用可能な推奨事項とリソースを使用する

CSF 2.0の範囲と規模が拡大されたため、どのような規模の企業にとっても新しい勧告を効果的に実施することが困難になる可能性があります。中小企業では、限られたITサポートが新しい業務の構築に影響を与える可能性がありますが、大企業ではIT環境の複雑さに苦労する可能性があります。

プロセスを合理化するために、企業は次のような参考情報を最大限に活用する必要があります。

2. リーダーと情報共有する

次に予定しているのは、リーダーに参加してもらうことです。CSF 2.0はガバナンスと監視を念頭に置いて設計されていますが、技術者以外の経営幹部の多くはフレームワークとその影響について知識が限定的である場合があります。そのため、CTO、CIOなどのITリーダーとそのチームが取締役会メンバーと話し合って、CSF 2.0の影響について話し合うことは良いアイデアだと考えています。これは、ビジネス目標とセキュリティー戦略を確実に一致させる機会でもあります。

さらに、このような会議では、主要なセキュリティー・メトリクスを定義し、その収集方法を決定し、収集、レポート、アクションの詳細なスケジュールを作成する機会が得られます。CSFの導入当初からリーダーを会話に参加させることで、企業は持続的な可視化のための準備を整えることができます。

3. 外部パートナーシップを評価する

新しいガバナンス機能の一環として、CSF 2.0にはベンダーとサプライヤーの管理に関する新しいサブセクションが含まれています。たとえば、GV.SC-04は、業務に対する重要度に基づいてサプライヤーを把握し、優先順位を付けることに重点を置いており、GV.SC-06は、サードパーティーとの関係に入る前に必要な計画とデュー・デリジェンスに基づいています。最後に、サブセクションGV.SC-10は、企業がサプライヤーまたはパートナーとの関係を終了する計画を立てるのに役立ちます。

サードパーティーの侵害のリスクと影響が増大することを考えると、これらの評価は重要です。重要な企業データにアクセスできるサプライヤーやベンダーが不十分なサイバーセキュリティーの実践によって侵害を受けた場合、自社のCSF 2.0準拠の有無にかかわらず、組織はリスクにさらされます。

4. 管理・監視ツールの導入

既存の5つの機能をすべてサポートし、新しいガバナンスの取り組みに必要なデータを提供するために、企業は潜在的な脅威を検知し、侵害の兆候(IOC)を追跡し、総合的なリスクを低減するための措置を講じることができる管理および監視ツールを必要としています。

たとえば、脅威インテリジェンス・ツールは、組織が一般的な攻撃パターンと標的を特定するのに役立ち、その結果、チームは効果的な対抗策を策定・展開するために必要なデータを得ることができます。このデータは、セキュリティーへの支出を測定可能なビジネス成果に結び付けることにも役立ちます。

ベスト・プラクティスから一般的なプラクティスへ

CSF 2.0はNISTのサイバーセキュリティー・フレームワークの最新バージョンですが、これが最後ではありません。NISTが指摘するように、このフレームワークは、新たなサイバーセキュリティーのニーズに対応し、企業が変化する脅威環境に対処するのに役立つ生きた文書として設計されています。

実際には、ベスト・プラクティスから一般的なプラクティスに移行することを意味します。たとえば、バージョン1.0および1.1では重要なインフラストラクチャーに関するベスト・プラクティスを提供していましたが、バージョン2.0では、それらをすべての組織の共通のプラクティスとして含め、新しいベスト・プラクティスであるガバナンスを定義しています。時間の経過とともに、この手法は一般的になり、組織が脅威検出を強化し、インシデント対応を改善し、総合的なリスクを軽減するのに役立つさらなる開発の基盤が整います。