NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか？：Cybersecurity Dive

NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。

[David Jones，Cybersecurity Dive]

　米国国立標準技術研究所（以下、NIST）は2023年8月8日（現地時間、以下同）、待望の「サイバーセキュリティフレームワーク」（以下、CSF）2.0のドラフト版を発表した（注1）。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。

大幅改定されるサイバーセキュリティフレームワーク　何が変わるのか？

　CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。

　同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナンスやサプライチェーンに関するサイバーセキュリティなどにも焦点を拡大しており、フレームワークの改訂の一部は、過去10年間のサイバーセキュリティの状況の変化に対応するものだ」と話した。

　NISTによると、過去10年間で200万回以上ダウンロードされており、世界中の組織がCSFを使用している。

　CSF 2.0はデジタル環境の脅威の大きな変化を反映し、さまざまな関係者からの1年以上にわたるフィードバックを受けたものである。

　NISTは、2022年2月に同フレームワーク改訂に向け、サプライチェーンのリスク管理を改善する方法について情報提供を求める要請を出した（注2）。これに対し、MicrosoftやAmerican Airlines、Carnegie Mellon University、Rapid 7が率いる24以上のサイバーセキュリティ組織による共同回答など（注3）、さまざまな企業や組織から130を超えるフィードバックが寄せられた。

　同フレームワークは、サイバー攻撃やデータ漏えいを特定、保護、検知、対応、回復する方法を5つの主要な機能に沿って分類している他、内部リソースが不足する中小企業に対する、堅固なセキュリティプログラムの開発および結果測定の支援を目的としている。

　サイバーセキュリティ事業を営むCritical InsightのCISO（最高情報セキュリティ責任者）であるマイク・ハミルトン氏によると、同フレームワークは規範を示すだけのものではなく結果を重視したものだ。

　「リモートアクセスを例にすれば、それをどう実行するかの問題ではなく、管理していることそのものが重要だ」（ハミルトン氏）

　新たなフレームワークには、組織内のガバナンスに関する6つ目の機能が含まれている。迅速な情報開示と情報共有が新たに重視される中、6つ目の機能は同フレームワークにおける重要な変更点だと業界アナリストは考えている。

　リサーチサービスを提供するForresterでセキュリティリスクを担当するシニアアナリストのコディ・スコット氏は「セキュリティチームは技術的な制御に精通しているが、経営層が主導する制御には実装が難しいものが多い。CSF 2.0のガバナンスステップを活用することで、効果的なビジネスマネジメントを実現するためのセキュリティチームの役割をビジネスリーダーに示せる」と述べている。

　NISTはコンピュータが自動的に読み込んで処理できる形式で、ユーザーがデータを閲覧、検索、エクスポートできるように、CSF 2.0の参照ツールを数週間以内にリリースする予定だ。2023年の秋にはワークショップを開催し、追加のパブリックコメントを求める計画だ。

　パブリックコメントの締め切りは2023年11月4日。NISTはCSF 2.0の最終版を2024年初頭に発表する予定だ。

（注1）The NIST Cybersecurity Framework 2.0（NIST）
（注2）NIST Seeks Input to Update Cybersecurity Framework, Supply Chain Guidance（NIST）
（注3）PUBLIC SUBMISSION（NIST）

原文へのリンク