NIST サイバーセキュリティフレームワーク 2.0の主な変更点について

2014の公表以来、NIST（米国国立標準技術研究所）のサイバーセキュリティフレームワーク(CSF) は、組織のサイバーセキュリティへのアプローチにおいて重要な役割を果たしています。以前のフレームワークでは、特定、防御、検知、対応、復旧の5つの機能の下で標準、ガイドライン、ベストプラクティスが特定されていました。

脅威の状況が変化するに伴い、従来のNISTフレームワーク（CSF1.0）を更新して改訂する必要が生じました。フレームワーク1.0は、電力網や医療施設などの重要なインフラストラクチャや機関に焦点を当てていましたが、2024年2月に公開されたNIST サイバーセキュリティフレームワーク （CSF2.0)は、より広い範囲を対象としています。

これは、規模や範囲に関係なく、すべての組織にセキュリティガイダンスを提供するように設計されています。（この違いは、CSFの正式名称の変更に反映されていいます。CSFは当初、重要インフラのサイバーセキュリティを改善するためのフレームワークとして知られていました。) CSFの最大の変更点の一つは、6番目の機能である「ガバナンス」の追加です。これは、組織がサイバーセキュリティ戦略をサポートするために内部の決定を行い、実行する方法をカバーし、サイバーセキュリティが企業リスクの主要な原因であることを強調しています。

ガバナンス機能の追加に加えて、CSF 2.0の最も大きな変更の一つに復旧機能の詳細化があります。

CSF 1.0の復旧機能の目的は、「レジリエンスの計画を維持し、サイバーセキュリティインシデントによって損なわれた機能やサービスを復元するための、適切なアクティビティの開発と実装」でした。

CSF 2.0の復旧機能の説明は、「サイバーセキュリティインシデントの影響を受けた資産および運用が復旧される。」というシンプルなものになりました。これには、インシデント復旧計画の作成と、外部と内部の関係者間で調整されたインシデント復旧コミュニケーションが含まれます。

具体的には、復旧機能の主な変更点は次のとおりです。

·    インシデント対応の重要性をより強調し、フォレンジック、分析、封じ込め戦略を通じてインシデントを迅速、効率的、効果的に管理する最善の方法についてのガイダンスを提供。

·    サイバーインシデントの技術的側面だけでなく、ビジネス継続性とコミュニケーションにも対処する、より堅牢なリカバリ計画の策定を推奨。

·      過去のインシデントから学ぶことの重要性を強調。インシデント後のレビューを実施して教訓を特定し、セキュリティチームが改善できる部分を特定。目標は、将来のインシデントに対する組織の回復力と適応力の向上。

·    復旧機能に新しいカテゴリ (テクノロジインフラストラクチャの復旧力) が追加。これにより、組織は、より短い回復時間でインシデントや中断に耐えられるようにシステムを設計することができます。

脅威の状況が変化し続け、新しい規制が追加されるにつれて、多くの組織はサイバーセキュリティに対応するのに苦労するようになります。CSFは、新たなサイバーリスクに対処し、組織が実装する必要があるセキュリティ対策のベースラインを提供するために更新されました。このフレームワークを使用すると、あらゆる規模の組織が、独自のニーズと課題に適したセキュリティプログラムを作成できます。

当初のCSFでは、プロファイルを使用できました。NISTは、プロファイルを「特定のシステムまたは組織がフレームワークカテゴリとサブカテゴリから選択した結果の表現」と定義しています。セキュリティプログラムの望ましい結果であるターゲットプロファイルと、現在のセキュリティプログラムである現在のプロファイルがありました。

CSF 2.0では、プロファイルに組織プロファイルとコミュニティプロファイルが追加されました。これまでプロファイルは、コミュニティがセキュリティの目標と結果を共有し、非常に特定のパラメーター内でリスク管理プロセスを改善するために使用されていました。組織は、関心のあるコミュニティに参加することで、計画、開発、使用、保守をカバーするコミュニティプロファイルライフサイクルを作成し、特定のユースケースや業界に基づいて洞察を共有したり、視点を得たりすることができます。重要なのは、CSF 2.0によってサイバーセキュリティが共有されることです。これは、強力なセキュリティガイダンスがない小規模企業に特に役立ちます。NISTは、組織がプロファイルを構築するのに役立つテンプレートを提供しています。

CSF 1.0は、重要なインフラストラクチャを扱う組織向けに非常に具体的なパラメーターを持っていましたが、CSF 2.0はあらゆる種類と規模のビジネスをカバーしています。より正確な言語とリソースが提供されるため、セキュリティに関する知識が最小限のユーザーでも簡単に従うことができます。最も重要なのは、リスク管理プラクティスを優先することです。多くのセキュリティチームにとっての障害の一つは、サイバーリスクがビジネスリスク戦略全体にどのように適合するかを理解するリーダーシップを得ることです。CSF 2.0は、組織のリスク許容度の概要と、予算編成とリソース割り当てのリスクの優先順位付けに関するガイドラインを提供します。

NIST CSF 2.0は誰でも無料で参照できますが、推奨事項の実装にはコストがかかります。多くの中小企業には、セキュリティプログラムを実行するための社内の専門知識や、サイバーセキュリティ専門家を雇う予算がありません。MSPやMSSPは、フレームワークの実装を支援できます。

MSP自身も、CSF 2.0に従うことでメリットがあります。このフレームワークの目標の1つは、情報を共有し、サイバーセキュリティをより包括的なものにすることです。MSPは、コミュニティプロファイルや推奨されるプロセスによって得られた情報を利用して、すべてのクライアントにリスク管理に対するより総合的なアプローチを提供できます。フレームワークのガイドラインに準拠していることを示すことで、MSPの信頼性が高まり、クライアントへのサービスが向上します。

十数年前にCSF 1.0が導入されたとき、それは組織のサイバーセキュリティに対する考え方を変える第一歩でしたが、限定された特定のユーザーが対象でした。サイバーセキュリティはより広範なものになっており、あらゆる種類の業界がサイバー攻撃のリスクにさらされ、サイバー攻撃によって、事業活動が一時的に停止する可能性があります。CSF 2.0のリリースにより、今日の脅威の状況に対応した、より効果的なサイバーセキュリティガイダンスがすべての組織で利用できるようになりました。