Sec2024-03-01_NISTサイバーセキュリティフレームワーク CSF2.0の改訂概要

## Sec2024-03-01_NISTサイバーセキュリティフレームワーク CSF2.0の改訂概要 ### 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` ### この資料の趣旨 #### 概要 - この資料では、CSF2.0の改訂のポイントと、フレームワーク活用するためのオンラインコンテンツを紹介します。 - NISTサイバーセキュリティフレームワーク（NIST CSF）は、サイバーセキュリティリスクに対応するための包括的なフレームワークであり、2024年2月に約10年ぶりに大幅改訂され、正式に公開されました。 - 中小企業を含めた組織のサイバーセキュリティ対策は、情報セキュリティマネジメントシステム（ISMS）の要件が定義されているISO/IEC 27001、ISMSの実施ガイドラインであるISO/IEC 27002を補完する形で、CSF2.0も活用することにより、より網羅的、体系的な対策の確立を期待できます。 #### 参考文献 - [Cybersecurity Framework | NIST](https://www.nist.gov/cyberframework) - [Navigating NIST's CSF 2.0 Quick Start Guides](https://www.nist.gov/quick-start-guides) - [Resource and Overview Guide](https://doi.org/10.6028/NIST.SP.1299) - [CSF 2.0 Organizational Profiles](https://doi.org/10.6028/NIST.SP.1301) - [CSF 2.0 Community Profiles](https://doi.org/10.6028/NIST.CSWP.32.ipd) - [Small Business](https://doi.org/10.6028/NIST.SP.1300) - [C-SCRM](https://doi.org/10.6028/NIST.SP.1305.ipd) - [Tiers](https://doi.org/10.6028/NIST.SP.1302.ipd) - [Enterprise Risk Management](https://doi.org/10.6028/NIST.SP.1303.ipd) - [CSF 2.0](https://doi.org/10.6028/NIST.CSWP.29) - [CSF 2.0 Profiles](https://www.nist.gov/profiles-0) - CSF 2.0 Organizational Profiles - [Notional CSF 2.0 Profile Template](https://www.nist.gov/document/csf-20-notional-organizational-profile-template) Download(XLSX) - [CSF 2.0 Community Profiles](https://www.nccoe.nist.gov/examples-community-profiles) Vist - [Informative References (Mappings)](https://www.nist.gov/informative-references) - Download CSF 2.0 Informative Reference in the Core - [Directly download all the Informative References for CSF 2.0](https://csrc.nist.gov/extensions/nudp/services/json/csf/download?olirids=all) - [Select Informative References to be included with the Core](https://csrc.nist.gov/projects/cybersecurity-framework/filters#/csf/filters) Browse - CSF 2.0 Implementation Examples - [Download (xlsx)](https://www.nist.gov/document/csf-20-implementation-examples-xlsx) [Download (pdf)](https://www.nist.gov/document/csf-20-implementations-pdf) - [FAQs](https://www.nist.gov/faqs) - [Translations of NIST Cybersecurity and Privacy Resources](https://www.nist.gov/translations#csf-20) - [NIST Cybersecurity Framework (CSF) 2.0 Reference Tool](https://csrc.nist.gov/Projects/cybersecurity-framework/Filters#/csf/filters) - 解説ページ - [NIST CSF2.0解説レポート | assured.jp](https://assured.jp/column/nistcsf2.0_report) 2024-2-29 参照 - [NIST サイバーセキュリティフレームワーク 2.0を解説｜約10年ぶりの大幅改訂、押さえるべき要点とは？｜ブログ｜NRIセキュア](https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework-2.0) 2024-2-29 参照 - [ISMSとNIST CSFは何がどう違うの？ | セキュマガ | LRM株式会社が発信する情報セキュリティの専門マガジン](https://www.lrm.jp/security_magazine/defference_isms-nist-csf/) 2024-2-29 参照 - [『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト](https://www.cybersecurity.metro.tokyo.lg.jp/) - [情報セキュリティに関する各種フレームワークの概要](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/435/index.html) - [【本編05】網羅的なセキュリティ対策を知る【フレームワーク】](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/462/index.html) - [Sec2023-01-02\_欧米の各種規格等の最新動向と概要【ドラフト版】](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/453/index.html) - [Sec01-02-3 サイバーセキュリティフレームワーク(CSF)フレームワークコア「重要インフラのフレームワークコア](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Sec01-02-3.pdf) #### この要約資料の改版履歴 - 2024/03/11 Rev.0.1.1 - 2024/03/08 Rev.0.1 暫定版 ___ ### CSF2.0の改訂のポイント NIST Cybersecurity Framework（NIST CSF）のバージョン2.0は、2024年2月26日に正式に公開されました。これは、2014年に初版であるNIST CSF 1.0が公表されて以来、約10年ぶりの大幅改訂です。以下に、NIST CSF 2.0の主な改訂ポイントを解説します。 #### 重要インフラだけでなくあらゆる規模の組織へ適応範囲の拡大 - CSF2.0は、重要インフラだけでなく、営利・非営利を問わず、あらゆる規模の組織におけるサイバーセキュリティリスクの低減に資することを目的としています。 - フレームワークの正式名称が「Framework for Improving Critical Infrastructure Cybersecurity（重要インフラのサイバーセキュリティを向上させるためのフレームワーク）」から、より汎用的な「Cybersecurity Framework（サイバーセキュリティフレームワーク）」に変更されています。 #### 経営層の主導で対策を行うためのガバナンス機能の追加 - ガバナンス機能は他の５つの機能（識別、防御、検知、対応、復旧）の目標達成や組織内の優先順位付けをするためのものと定義され、CSF2.0の中心的機能と位置づけられています。 - NIST CSF 2.0は、新しい機能として「Govern（統治）」を導入し、組織のミッションや目標に沿ったサイバーセキュリティの管理を促している。 - NIST CSF 2.0は、サイバーセキュリティを企業リスクの一つと位置づけ、経営層の主導で対策と改善を行うことを推奨している。 #### フレームワーク活用するための補助リソースのリリース - CSF2.0本体は大きく次の３つのコンポーネントから構成されています。それらのコンポーネント構成やその定義に大きな変更はありませんが、今回のCSF2.0にあわせてサイバーセキュリティリスク対策を推進・補助するための多くの補助リソースがリリースされています。 - **実装例**：これは、特定のサブカテゴリーをどのように実装するかのベストプラクティス（最良の方法）を示している。 - **参考情報**：これは、目標達成に役立つ他のガイドラインやリソースを提供している。 - **クイック・スタート・ガイド**：これは、中小企業などの特定のニーズに対応した専用のガイダンスを提供している。 - そして、NIST CSF 2.0 リファレンスツールを使用すると、ユーザーはCSF 2.0 コア（機能、カテゴリ、サブカテゴリ、実装例）を探索できる。このツールは、人間と機械が読み取り可能な形式（JSON および Excel）でコアを提供する。さらに、ユーザーは主要な検索用語を使用してコアの一部を表示し、エクスポートすることも可能。これにより、ユーザーは自分のニーズに合わせて情報を探しやすくなる。 #### サプライチェーンリスクマネジメント項目の拡充 - サプライチェーンリスク管理プロセスが組織のステークホルダーにより識別・確立・管理・監視・改善されること。 - NIST CSF 2.0の最新の改訂では、新たな機能として「GV（統治）」が導入された。この「GV」の下には新しいカテゴリー「GV.SC：サイバーセキュリティサプライチェーンリスクマネジメント」が設けられ、その役割が移行された。これにより、サプライチェーンのリスク管理に必要な対策項目（サブカテゴリー）が大幅に増えた。これは、サプライチェーンのリスクをより効果的に管理するための重要なステップ。以上が、NIST CSF 2.0の主な改訂ポイントです。これらの改訂により、企業や組織のサイバーセキュリティ対策強化に向けた指針として、本フレームワークの活用は一層進むことが予想されます。 ___ ### ISO/IEC27001,27002とCSF2.0の活用 - ISO/IEC 27001は情報セキュリティマネジメントシステム（ISMS）の要件を定義しており、ISO/IEC 27002はISMSの実施ガイドラインです。これらの規格は、情報セキュリティに関する国際的な指針として広く認知され、活用されています。 - これに対して、NIST CSFは、サイバーセキュリティリスクに対応するための包括的なフレームワークであり、官民の組織で活用されています。2024年2月に正式に公開されたNIST CSF 2.0は、約10年ぶりの大幅改訂です。 #### CSF 2.0を活用する意義 - **包括性と実用性**: - NIST CSFは広範な管理策をカバーし、サイバーレジリエンスを強化するための具体的なアクションを提供します。これにより、組織は包括的なアプローチでサイバーセキュリティを向上させることができます。 - **共通言語としての活用**: - NIST CSFは世界中で広く活用されており、組織内外の関係者とのコミュニケーションに役立ちます。特に「GV（統治）」機能は経営層との共通言語として活用できます。 - **リスクマネジメントの強化**: - NIST CSFはリスクベースのアプローチを推進し、サプライチェーンリスクマネジメントを強化します。 ISMSは広範な情報セキュリティを対象としていますが、NIST CSFは特にサイバー攻撃の事後対策（検知、対応、復旧）にも多く言及されています。総括すると、NIST CSF 2.0はISO/IEC 27001, 27002と補完しながら、組織のサイバーセキュリティ対策を強化するための有用なツールとなります。