NIST CSF 2.0におけるセキュリティガバナンス強化の方向性とは

NIST CSFは2024年2月にV2.0へ大幅な改訂が行われています。本改訂について、新設されたガバナンス機能や強化されたサイバーセキュリティに係るサプライチェーンリスクマネジメント等を中心に改訂のポイントを解説します。

要点

• NIST CSF V2.0では、エンタープライズリスクマネジメントの枠組みにサイバーセキュリティリスクを統合して管理する等、新設されたガバナンス機能を中心に強化が図られている。
• サイバーセキュリティに係るサプライチェーンマネジメントに係るサブカテゴリでは、サプライヤーの特定や重要度に応じた優先順位付け等、大幅に項目が追加されている。
• 各サブカテゴリの目標を達成する上で役立つ実装例や参考情報が記載されており、特にCRI Profile V2.0とは密な連携が図られている。

2014年2月にNIST（National Institute of Standards and Technology）が米国の重要インフラのサイバーセキュリティ対策向上を目的として策定したCSF（Cyber Security Framework）については、初版を策定して以降、18年4月のV1.1の改訂（サプライチェーンリスク管理の追加等）を経て、24年2月にV2.0へ大幅な改訂が行われています。CSFは特定、防御、検知、対応、復旧の5つの機能ごとに管理策が纏められており、その構成の分かりやすさと予防的な対策（特定、防御）のみならず、サイバー攻撃を受けた後の事後的な対策（検知、対応、復旧）までを含めた網羅性の高さから、多くの組織で活用されてきました。V1.1までは米国の重要インフラ向けのフレームワークとして位置付けられていましたが、今回の改訂で、あらゆる組織を対象としたフレームワークへと適用範囲が拡大しています。

1. NIST CSF V2.0の改訂ポイント

1-1.  「ガバナンス」機能の追加

NIST CSF V2.0ではこれまでの特定、防御、検知、対応、復旧の5つの機能に加えて、「ガバナンス」が追加されており、計6つの機能で構成されています。V1.1において、「特定」の機能の中で記載されていたガバナンス、リスクマネジメント戦略、サプライチェーンリスクマネジメント等のカテゴリーについてはV2.0では「ガバナンス」の機能の中に集約されています。

新設された「ガバナンス」機能の中に組み込まれたカテゴリーについては強化が図られており、リスクマネジメント戦略のカテゴリーでは、企業全体のリスクを統合的に管理するエンタープライズリスクマネジメントの枠組みにサイバーセキュリティリスクを統合して管理すること等が記載されています。

サイバーセキュリティ脅威は拡大の一途をたどっており、IT部門やセキュリティ部門に限定されたリスクではなく、組織全体におけるリスクの1つであるとの認識が広がっています。このような中、限られた経営資源を効果的に投下していくには、経営層によるトップダウンのアプローチが重要であると考えられます。

1-2. サイバーセキュリティサプライチェーンリスクマネジメントの強化

サイバーセキュリティに係るサプライチェーンリスクマネジメントに関しては、NIST CSF V2.0において「ガバナンス」の機能に位置付けられており、サブカテゴリーについては、サプライヤーの特定や重要度に応じた優先順位付けや契約締結前のリスク評価等の項目が追加されています。V2.0ではサイバーセキュリティサプライチェーンリスクマネジメントについて計10項目存在しており、全体を通じて最も項目数が多いことからもその重要性が読み取れます。

グループ企業や取引先等のサプライチェーンを狙った攻撃は増加している一方で、サプライチェーン攻撃は自社のみで対応することが難しく、サプライチェーン全体を通じた対策が必要となります。NISTではこのような背景に鑑みて、V2.0でサイバーセキュリティに係るサプライチェーンリスクマネジメントの項目を大幅にアップデートするとともに、NIST SP 800-161 Rev. 1「Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations」にてサイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM）の詳細なガイダンスを提供しています。

1-3.  実装例と参考情報の拡充

NIST CSF V2.0では、各サブカテゴリーの目標を達成する上で役立つ実装例や参考情報が示されています。

実装例は達成に向けて必要となる網羅的な対策例やベースラインを示すものではありませんが、各サブカテゴリーが意図している内容を理解する上で役立つ実装例が記載されていることで、CSFへの理解度にかかわらず活用し易い構成となっています。

また、各サブカテゴリーについて参考情報として、V2.0と他のNIST文書や他ガイドラインとの関連付けがなされています。特に、参考情報の文書のうち、金融機関向けのサイバーセキュリティフレームワークであるCRI Profile V2.0については、NIST CSF V2.0と緊密な連携が図られていることがうかがえます。NIST CSF V2.0は6つの機能、106項目のサブカテゴリーで構成されていますが、CRI Profile V2.0 ではそれら全てを対象にマッピングされています。また、金融セクターで以前より重視されてきたサイバーセキュリティに係るガバナンスの観点が、NIST CSF  V2.0で1つの機能として新設されていることからも両文書間の結びつきの強さを表していると考えられます。

2.  今後のサイバーセキュリティ強化に向けた方向性

ランサムウェアやサプライチェーン攻撃をはじめとした近年の高度化／複雑化したサイバー攻撃に鑑みると、セキュリティソリューションの導入等、単一の管理策のみで脅威に対抗することは難しく、グループ企業含む組織全体を通じたサイバーセキュリティガバナンスへの不断の取り組みが求められている状況です。

このような背景も踏まえ、NIST CSF V2.0では「ガバナンス」機能の新設、サイバーセキュリティサプライチェーンに関するサブカテゴリーの拡充、エンタープライズリスクマネジメントの枠組みにおけるサイバーリスクの統合等、ガバナンスを中心としたアップデートが図られていると考えられます。

言語・商習慣・法制度の異なる海外拠点や自社とセキュリティ水準が異なる委託先が存在する等、画一的な対応では解決が困難な課題が山積する中、各組織において実効性のある対策が求められているところです。

【共同執筆者】

高松 有二
EY新日本有限責任監査法人　Technology Risk事業部　マネージャー

大森 未優
EY新日本有限責任監査法人　Technology Risk事業部　シニアコンサルタント

※所属・役職は記事公開当時のものです