2024年2月26日、米国政府機関である米国国立標準技術研究所(NIST)は、広く採用されているサイバーセキュリティフレームワーク(CSF)の大幅な改訂を発表しました。
NISTサイバーセキュリティフレームワークとは?
NISTのCSFは、デジタルアプリケーションの増加に対応するためのサイバーリスクフレームワークの開発を指示した大統領令を受け、2014年に初版が公表されました。これは自主的なフレームワークであり、組織が事業規模や業種、技術的専門性に関係なくサイバーセキュリティの防御を評価・強化するための構造的なアプローチとガイドラインを提供するものです。また、活動と成果を5つの機能に分けることで、サイバーセキュリティ活動をビジネス上の要求事項、リスク許容度、リソースと整合させることもできます:
- 特定:システム、資産、データ、能力に対するサイバーセキュリティリスクの理解と管理に重点を置いています。
- 保護:サイバーセキュリティインシデントの影響を最小限に抑えつつ重要なサービスを確実に提供するためのセーフガードを導入します。
- 検出:サイバーセキュリティのイベントを発生時に迅速に特定し、タイムリーな対応を促進することを目的としています。
- 対応:サイバーセキュリティインシデントを封じ込め、緩和し、回復するために適切な行動を取ります。
- 復旧:サイバーセキュリティインシデントによって影響を受けた機能やサービスの復旧に重点を置いています。
CSF 2.0の改訂内容は?
2018年にv1.1がリリースされて以来、サイバーセキュリティのリスク状況は急速に進展してきました。
この急速な進化を反映するため、NIST CSF 2.0では、サイバーセキュリティを組織文化や意思決定プロセスに統合し、以下のような新たな課題に対処することの重要性を強調しています:
- サプライチェーンの混乱とリスク
- 5Gとモノのインターネット(IoT)機器の成長
- 熟練したサイバーセキュリティスタッフの不足
CSF 2.0により、組織はより包括的なガイダンスと組織の柔軟性を得られます。主な変更点は以下の通りです:
- サイバーセキュリティ戦略とポリシーの「ガバナンス」機能の追加。これは、サイバーリスク・ガバナンスの重要性を高めたという点で注目に値します。
- サプライチェーンリスクマネジメントに関するガイダンスの拡大
- サイバーセキュリティの成果の測定に関するガイダンスの拡大
- 組織プロファイル作成のための新しいテンプレート
- より広範な組織のリスクマネジメントとの統合の強化
- NISTのプライバシー、IoT、クラウドセキュリティ関連の新文書との整合性
組織には何ができるか?
現在NISTのCSFを使用している組織は、CSF 2.0の変更点と更新されたフレームワーク・コアを詳しく検討できます。これにより、既存のCSFの実施に必要なギャップや改善点の特定、それに応じたサイバーセキュリティのポリシー、プログラム、プラクティスの調整が可能になります。
新規採用者にとって、CSF 2.0は、サイバーリスクマネジメントプログラムを構築するための最新の規格となります。NISTのCSF v2.0は、サイバーセキュリティのレジリエンスを強化し、新たな脅威に適応しようとする組織にとって貴重なリソースといえます。
スティーブン・スコットによる戦略的な侵害耐性の構築と、テリー・ミンフォードによるAIのダークサイドから身を守るを読み、デジタルトラストの専門家による詳細をご覧ください。
BSIのエキスパート・コーナー で、業界の専門家の詳しい洞察をご覧ください。LinkedInニュースレター「Experts Corner-2-Go」にご登録いただくと、デジタルトラスト、EHS、サプライチェーンに関する最新のソートリーダーシップ・コンテンツをまとめてご覧いただけます。
