NISTサイバーセキュリティフレームワーク にすとさいばーせきゅりてぃふれーむわーく
簡単に言うとこんな感じ!
アメリカの国立標準技術研究所(NIST)が作った、サイバーセキュリティ対策の「共通の教科書」だよ。「何をどの順番で対策すればいいの?」って迷ったときに、世界中の企業が参考にしてる定番ガイドなんだ!
NISTサイバーセキュリティフレームワークとは
NIST(米国国立標準技術研究所) が2014年に公開した、組織がサイバーセキュリティリスクを管理・低減するための指針です。正式名称は “Framework for Improving Critical Infrastructure Cybersecurity”(重要インフラのサイバーセキュリティ強化のためのフレームワーク)で、略称は CSF(Cybersecurity Framework) と呼ばれます。
もともとは電力・水道・金融といった「重要インフラ」を守るために作られましたが、シンプルかつ実践的な構成が評価され、現在では業種・規模を問わず世界中の企業・行政機関に広く活用されています。日本でも経済産業省や独立行政法人IPAが参照を推奨しており、日本企業のセキュリティ対策の基準として定着しています。
特定の製品や技術を強制するものではなく、「どんなセキュリティ活動が必要か」を整理する共通言語として機能するのが最大の特徴です。既存のセキュリティ対策を棚卸しするときにも、発注側が委託先のセキュリティレベルを確認するときにも役立ちます。
フレームワークの中核:5つの機能(Functions)
CSFの骨格は、セキュリティ活動を5つのフェーズに分けた コア(Core) です。頭文字を並べると 「ID → PR → DE → RS → RC」 となります。
| # | 機能(英語) | 日本語 | 一言説明 |
|---|---|---|---|
| 1 | Identify(特定) | 識別 | 守るべき資産・リスクを把握する |
| 2 | Protect(保護) | 防御 | 攻撃されないよう対策を施す |
| 3 | Detect(検知) | 検知 | 異常・侵害をいち早く発見する |
| 4 | Respond(対応) | 対応 | インシデント発生時に対処する |
| 5 | Recover(復旧) | 復旧 | 事業継続・正常状態に戻す |
覚え方:「特防検対復」または「IPDRR」
「いつも ぷろが できる れスポンス りカバリー」——頭文字 I・P・D・R・R で覚えると忘れにくいですよ。
CSF 2.0(2024年改訂版)で追加された6つ目の機能
2024年2月にリリースされた CSF 2.0 では、新たに Govern(統治) が追加され、6機能体制になりました。
| 追加機能 | 日本語 | 内容 |
|---|---|---|
| Govern(統治) | ガバナンス | 経営レベルでのセキュリティ方針策定・役割分担・リスク管理体制の整備 |
経営層の関与を明示的に求めるこの変更は、サイバーセキュリティが「IT部門だけの問題」でなく経営課題であることを強調しています。
フレームワークの3層構造
CSFはコアだけでなく、実装のための3層構造を持っています。
┌─────────────────────────────────────────┐
│ ① コア(Core) │
│ 5〜6つの機能 + カテゴリ + サブカテゴリ │
│ 「何をすべきか」の共通カタログ │
├─────────────────────────────────────────┤
│ ② インプリメンテーション ティア(Tier) │
│ Tier 1〜4:組織のセキュリティ成熟度 │
│ 「どのくらいできているか」の自己評価 │
├─────────────────────────────────────────┤
│ ③ プロファイル(Profile) │
│ 現状プロファイル vs 目標プロファイル │
│ 「今 → 目標」のギャップ分析 │
└─────────────────────────────────────────┘ティア(Tier) は1〜4の4段階で、数字が大きいほどリスク管理が高度・体系化されています。
| ティア | 名称 | 状態のイメージ |
|---|---|---|
| Tier 1 | Partial(部分的) | 場当たり的な対応 |
| Tier 2 | Risk Informed(リスク把握) | リスクは認識しているが非体系的 |
| Tier 3 | Repeatable(反復可能) | 方針・手順が文書化・実施済み |
| Tier 4 | Adaptive(適応的) | 継続改善・脅威情報を積極活用 |
歴史と背景
- 2013年2月 — オバマ大統領が大統領令13636号に署名。重要インフラのサイバーセキュリティ強化を指示し、NISTにフレームワーク策定を命令
- 2014年2月 — CSF 1.0 公開。電力・金融・交通など重要インフラ向けを想定
- 2018年4月 — CSF 1.1 公開。サプライチェーンリスク管理・認証管理などを追加
- 2019年 — 日本の経済産業省・IPAがCSFを参考にした「サイバーセキュリティ経営ガイドライン」を改訂
- 2022年〜 — NIST がパブリックコメントを重ね CSF 2.0 を準備。スコープを「あらゆる組織」に拡大
- 2024年2月 — CSF 2.0 正式公開。Govern機能追加・サプライチェーン強化・中小企業向け資料も拡充
他のセキュリティフレームワークとの比較
CSFは単独で使うだけでなく、他の規格と組み合わせて使われることが多いです。
| フレームワーク | 主な目的 | 対象 | CSFとの関係 |
|---|---|---|---|
| NIST CSF | セキュリティ活動の整理・共通言語 | あらゆる組織 | 本エントリ |
| ISO/IEC 27001 | 情報セキュリティ管理システム(ISMS)認証 | 認証取得を目指す組織 | CSFとマッピング可能。CSFはISO27001の実装に活用できる |
| NIST SP 800-53 | 連邦政府向け詳細セキュリティコントロール | 米国政府機関 | CSFのサブカテゴリの具体的実装例として参照される |
| CIS Controls | 優先度付きの具体的セキュリティ対策18項目 | 中小〜大企業 | CSFの機能に対応付けて使われることが多い |
| MITRE ATT&CK | 攻撃者の戦術・技術のカタログ | SOC・脅威分析チーム | DetectやRespondの実装で参照される |
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| NIST SP 800-53 | 連邦情報システム向けセキュリティコントロールカタログ。CSFの各サブカテゴリの実装参照先 |
| NIST SP 800-37 | リスクマネジメントフレームワーク(RMF)。CSFと組み合わせて使われる |
| ISO/IEC 27001:2022 | 情報セキュリティマネジメントシステム(ISMS)国際規格。CSFとクロスマッピング可能 |
関連用語
- 情報セキュリティマネジメントシステム(ISMS) — ISO/IEC 27001に基づく情報セキュリティ管理体制の国際規格
- サイバーセキュリティ経営ガイドライン — 経済産業省がCSFを参考に策定した日本版経営者向けガイド
- リスクアセスメント — 資産・脅威・脆弱性を洗い出しリスクを評価するプロセス
- インシデントレスポンス — セキュリティインシデント発生時の対応手順・体制
- ゼロトラスト — 「信頼しない・検証し続ける」を前提とした現代的セキュリティモデル
- サプライチェーンリスク管理 — 委託先・調達先を含む広範なリスク管理の考え方
- MITRE ATT&CK — 攻撃者の戦術・技術を体系化したセキュリティ知識ベース
- 脆弱性管理 — システムの弱点を継続的に発見・評価・修正するプロセス