検索
ニュース

NIST、サイバーセキュリティフレームワーク(CSF)のバージョン2.0を発表初のメジャーアップデート

NISTは、国際的に広く使用されているサイバーセキュリティフレームワーク(CSF)の最新版となるバージョン2.0を発表した。

Share
Tweet
LINE
Hatena

 米国国立標準技術研究所(NIST)は2024年2月26日(米国時間)、サイバーセキュリティフレームワーク(CSF)の最新版となるバージョン2.0(以下、CSF 2.0)を発表した。

 CSFは、サイバーセキュリティのリスクを軽減するためのガイダンス文書であり、国際的に広く使用されている。2014年に発表されたバージョン1.0(以下、CSF 1.0)、2018年に発表されたバージョン1.1(以下、CSF 1.1)は、日本語を含む13の言語に翻訳されている。

 CSFは、米国の国家サイバーセキュリティ戦略(National Cybersecurity Strategy)を支援するものであり、CSF 1.0/1.1は、病院や発電所のような「重要インフラ」を担う組織向けに策定された。CSF 2.0は、あらゆる業種、規模の組織がサイバーセキュリティリスクを管理、軽減できるよう支援することを明確な目標として掲げている。

 CSF 2.0では、ドラフト段階で寄せられた多くのコメントを受けて、CSFのコアガイダンスが拡張された。また、さまざまな組織がCSFを理解し、容易に実践して活用できるように、一連の関連リソースが作成された。

CSF 2.0と関連リソース(提供:NIST)
CSF 2.0と関連リソース(提供:NIST)

コアガイダンスを拡張、新たに「ガバナンス」を追加

 CSF 2.0では、組織がサイバーセキュリティ戦略に関して、情報に基づく意思決定をどのように行い、実行に移すかを包含するガバナンスに、新たに焦点が当てられている。

 CSF 2.0のフレームワークのコアは、「Identify(識別)」「Protect(防御)」「Detect(検知)」「Respond(対応)」「Recover(復旧)」と、CSF 2.0で新たに追加された「Govern(ガバナンス)」の6機能を中心に構成されている。これらの機能を組み合わせることで、サイバーセキュリティリスク管理のライフサイクルを包括的に捉えることができると、NISTは述べている。

CSF 2.0の構成(提供:NIST)
CSF 2.0の構成(提供:NIST)

CSF 2.0の関連リソース

 NISTは、ニーズがさまざまに異なり、サイバーセキュリティツールの導入経験もさまざまに異なる組織がCSF 2.0を使用することを想定し、多様な組織におけるCSF 2.0の活用に役立つ以下のようなリソースを用意した。

導入事例

 目的別に分類されたCSF活用の成功事例から学べる。

クイックスタートガイド

 中小企業、企業のリスク管理者、サプライチェーンのセキュリティ確保を目指す組織など、組織のプロファイルに応じたCSF 2.0導入ガイドを利用できる。

CSF 2.0 Reference Tool

 組織がCSF 2.0を実践する方法を容易にする。ユーザーはCSFのコアガイダンスのデータや詳細を、人間が利用できる形式と機械が読める形式で閲覧、検索、エクスポートできる。

参考資料の検索可能なカタログ

 CSFのガイダンスと、関連付けられた50以上の他のサイバーセキュリティ文書を相互に参照できる。これらの文書には、「SP 800-53 Rev. 5」などNISTの他の文書も含まれる。SP 800-53 Rev. 5は、特定のサイバーセキュリティ成果を達成するためのツール(「コントロール」と呼ばれる)のカタログだ。

Cybersecurity and Privacy Reference Tool(CPRT)

 相互に関連付けられ、閲覧とダウンロードが可能なNISTの一連のガイダンス文書を提供する。

 NISTは今後もリソースを拡充し、CSFをより広範なユーザーにとって、より有用なものにしていく考えだ。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  3. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  4. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  5. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  6. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  7. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  8. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  9. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る