ホーム
Topics
NISTサイバーセキュリティー・フレームワークとは
米国国立標準技術研究所(NIST)は、測定科学、標準、技術を推進することでイノベーションを促進する非規制機関です。 NISTサイバーセキュリティー・フレームワーク(NIST CSF)は、組織がサイバーセキュリティー・リスクの管理を改善するための基準、ガイドライン、およびベスト・プラクティスで構成されています。
NIST CSFは、あらゆる業界のあらゆる組織において、既存のセキュリティー・プロセスと統合できるように柔軟に設計されています。 この本は、米国の事実上あらゆる民間企業において、情報セキュリティーおよびサイバーセキュリティー・リスク 管理を導入するための優れた出発点となります。
2013年2月12日、「重要インフラのサイバーセキュリティーの向上に関する大統領令(EO)13636」が発令されました。 これにより、「既存の自主的なコンセンサス基準や業界のベスト・プラクティスを特定して、それらをサイバーセキュリティー・フレームワークに組み込む」というNISTの米国民間企業との共同作業が始まりました。このコラボレーションの結果、NIST Cybersecurity Framework Version 1.0が完成しました。
2014年のサイバーセキュリティー強化法(CEA)は、サイバーセキュリティー・フレームワークの開発におけるNISTの取り組みを拡大しました。 現在、NIST CSFは、米国のすべての産業分野で最も広く採用されているセキュリティー・フレームワークの1つです。
NISTサイバーセキュリティー・フレームワークには、機能、カテゴリー、サブカテゴリー、および参考文献が含まれています。
機能は、ベスト・プラクティスのセキュリティー・プロトコルの一般的な概要を示します。 機能は、手続き的なステップを意図したものではなく、「ダイナミックなサイバーセキュリティー・リスクに対応する運用文化を形成するために、同時かつ継続的に」実行されるべきものです。 カテゴリーとサブカテゴリーは、組織内の特定の部門やプロセスに対して、より具体的なアクション・プランを提供します。
NISTの機能とカテゴリーの例は以下の通りです。
NIST CSFの参考文献には、他のフレームワークの機能、カテゴリー、サブカテゴリー、および特定のセキュリティー対策との間に直接的な相関関係が示されています。 これらのフレームワークには、Center for Internet Security (CIS) Controls®、COBIT 5、International Society of Automation (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、International Organization for Standardization and the International Electrotechnical Commission 27001:2013、およびNIST SP 800-53 Rev. 4があります。
NIST CSFは、物理的なデバイスやシステムのインベントリーの方法や、ソフトウェア・プラットフォームやアプリケーションのインベントリーの方法については述べておらず、単に完了すべきタスクのチェックリストを提供しているだけです。 インベントリーを行う方法は、組織が独自に選択することができます。 組織がさらなるガイダンスを必要とする場合は、他の補完的な標準における関連統制の参考文献を参照することができます。 CSFには、組織のサイバーセキュリティー・リスク管理のニーズに最も適したツールを選択する自由があります。
民間企業がNISTサイバーセキュリティー・フレームワークの実施に向けた進捗状況を測定するために、フレームワークでは4つの実施段階を定めています。
NISTサイバーセキュリティー・フレームワークは、情報セキュリティーのリスク管理プログラムを確立または改善する方法について、ステップバイステップのガイドを提供しています。