NISTが「Cybersecurity Framework 2.0」を公開 ドキュメントの対象組織を拡大：セキュリティニュースアラート

NISTは「Cybersecurity Framework 2.0」を発表した。全組織がサイバーセキュリティリスクを管理できるように改訂されている。

[後藤大地，有限会社オングス]

　米国立標準技術研究所（NIST）は2024年2月26日（現地時間）、「Cybersecurity Framework」の最新版となるバージョン2.0を公開した。

　更新版は初のメジャーアップデートであり、このドキュメントによって全ての組織がサイバーセキュリティリスクの管理と軽減を実施できることを目的としている。

NISTはCybersecurity Frameworkの最新版となるバージョン2.0を公開した（出典：NISTのWebサイト）

待望のCybersecurity Framework 2.0が登場　注目点は？

　Cybersecurity Framework 2.0の注目点は以下の通りだ。

• Cybersecurity Frameworkは当初、重要インフラストラクチャの組織を対象としていたが、今回は全ての組織がリスクの管理や軽減に取り組めることを目的としている
• Cybersecurity Frameworkのコアガイダンスを更新し、全ての組織がサイバーセキュリティの目標を達成するのに役立つ一連の資料を作成した。ガバナンスとサプライチェーンに重点を置いている
• 今回のアップデートは数年にわたる議論とパブリックコメントの成果であり、フレームワークをより効果的にすることを目的としている

　米国商務省の標準技術担当商務次官兼NIST理事であるローリー・E・ロカシオ氏は「Cybersecurity Frameworkは多くの組織にとって重要なツールであり、サイバーセキュリティの脅威を予測し、対処するのに役立っている。旧バージョンをベースとするCybersecurity Framework 2.0は単なる文書ではない。組織のサイバーセキュリティのニーズが変化し、その能力が進化するにつれて、個別にあるいは組み合わせてカスタマイズして使用できる一連のリソースとして構成されている」と述べた。

　NISTの応用サイバーセキュリティ部門のチーフであるケビン・スタイン氏は「Cybersecurity Frameworkの更新版は利害関係者と緊密に協力し、最新のサイバーセキュリティの課題や管理手法を反映させて改訂されており、米国内外の幅広いユーザーにとって、より適切なフレームワークとなることを目指している」と話した。

　スタイン氏はユーザーがCybersecurity Frameworkをカスタマイズする際にはその例や成功事例を共有してほしいと呼びかけており、Cybersecurity Frameworkをより優れたものになるように改訂していく計画を示唆している。

　Cybersecurity Frameworkは全世界で使用されており、バージョン1.0と1.1は13の言語に翻訳されている。NISTはCybersecurity Framework 2.0に関しても世界中のボランティアの手によって翻訳されることを期待するとした。