NISTのサイバーセキュリティフレームワークが大幅改訂 何が追加されるのか?:Cybersecurity Dive
NISTはサイバーセキュリティフレームワーク2.0のドラフト版を発表した。改訂は2014年以来で、現状に即したセキュリティ実装に向けて大規模な項目の追加が予想される。
米国国立標準技術研究所(以下、NIST)は2023年8月8日(現地時間、以下同)、待望の「サイバーセキュリティフレームワーク」(以下、CSF)2.0のドラフト版を発表した(注1)。これは同機関のリスクガイダンスに関する2014年以来の大規模な改訂である。
大幅改定されるサイバーセキュリティフレームワーク 何が変わるのか?
CSFはもともと重要インフラに重点を置いたリスクガイダンスだったが、改訂されたバージョンでは中小企業や地域の学校、その他の事業体を含む幅広い組織を対象としたものになっている他、コーポレートガバナンスの役割や、第三者との関係に基づくデジタルネットワークのリスクの増大にも言及している。
同フレームワークの開発責任者であるチェリリン・パスコー氏は「NISTは脅威や技術、規格の変化を含むサイバーセキュリティの状況の変化を考慮してフレームワークを改訂した。サイバーセキュリティガバナンスやサプライチェーンに関するサイバーセキュリティなどにも焦点を拡大しており、フレームワークの改訂の一部は、過去10年間のサイバーセキュリティの状況の変化に対応するものだ」と話した。
NISTによると、過去10年間で200万回以上ダウンロードされており、世界中の組織がCSFを使用している。
CSF 2.0はデジタル環境の脅威の大きな変化を反映し、さまざまな関係者からの1年以上にわたるフィードバックを受けたものである。
NISTは、2022年2月に同フレームワーク改訂に向け、サプライチェーンのリスク管理を改善する方法について情報提供を求める要請を出した(注2)。これに対し、MicrosoftやAmerican Airlines、Carnegie Mellon University、Rapid 7が率いる24以上のサイバーセキュリティ組織による共同回答など(注3)、さまざまな企業や組織から130を超えるフィードバックが寄せられた。
同フレームワークは、サイバー攻撃やデータ漏えいを特定、保護、検知、対応、回復する方法を5つの主要な機能に沿って分類している他、内部リソースが不足する中小企業に対する、堅固なセキュリティプログラムの開発および結果測定の支援を目的としている。
サイバーセキュリティ事業を営むCritical InsightのCISO(最高情報セキュリティ責任者)であるマイク・ハミルトン氏によると、同フレームワークは規範を示すだけのものではなく結果を重視したものだ。
「リモートアクセスを例にすれば、それをどう実行するかの問題ではなく、管理していることそのものが重要だ」(ハミルトン氏)
新たなフレームワークには、組織内のガバナンスに関する6つ目の機能が含まれている。迅速な情報開示と情報共有が新たに重視される中、6つ目の機能は同フレームワークにおける重要な変更点だと業界アナリストは考えている。
リサーチサービスを提供するForresterでセキュリティリスクを担当するシニアアナリストのコディ・スコット氏は「セキュリティチームは技術的な制御に精通しているが、経営層が主導する制御には実装が難しいものが多い。CSF 2.0のガバナンスステップを活用することで、効果的なビジネスマネジメントを実現するためのセキュリティチームの役割をビジネスリーダーに示せる」と述べている。
NISTはコンピュータが自動的に読み込んで処理できる形式で、ユーザーがデータを閲覧、検索、エクスポートできるように、CSF 2.0の参照ツールを数週間以内にリリースする予定だ。2023年の秋にはワークショップを開催し、追加のパブリックコメントを求める計画だ。
パブリックコメントの締め切りは2023年11月4日。NISTはCSF 2.0の最終版を2024年初頭に発表する予定だ。
関連記事
- “地味に嫌な”サイバー攻撃の手口が流行の兆し まずは知ることから始めよう
サイバー攻撃は日々高度化、複雑化しており、想像もつかないような手口で私たちをだまそうとしてきます。今回はJPCERT/CCが注意喚起している奇妙な攻撃について紹介します。 - インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。 - GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。 - 「セキュリティ理解ゼロ」の経営層から予算を引き出すには? エンドポイント対策の現在地
企業規模の大小を問わずサイバー攻撃の標的となる可能性が増す一方で、経営層のセキュリティ対策への理解が十分とはいえない企業が多いのが実態だ。予算を確保するために「セキュリティ理解ゼロ」の経営層をいかに説得すべきか。現在押さえるべきエンドポイント対策と併せて、サイバーディフェンス研究所の名和利男氏の提言を紹介する。
© Industry Dive. All rights reserved.