検索
ニュース

セキュリティ枠組みの選び方を変えた「4つの変化」とは IDCが選定の指針を公表セキュリティニュースアラート

情報セキュリティの枠組み選定は「定番を選んで終わり」ではなくなった。IDCが企業向けの選定指針を公表した。同社が「根本から変わった」と指摘する選定の前提とは何か。

Share
Tweet
LINE
Hatena

 IDCは2026年7月2日(現地時間)、AIと量子コンピュータ時代を踏まえた情報セキュリティフレームワークの選定指針を公表した。知名度の高い枠組みを選んでチェックを済ませるという従来型の選び方はもはや通用しなくなったとの認識を示し、組織の状況に応じた判断基準を整理した。

 情報セキュリティの枠組みを巡っては、NIST CSFやISO 27001など定番の選択肢があり、多くの企業がこれらを前提に対策を組み立ててきた。IDCが前回、包括的な選定指針を公表した2022年時点では、主要な枠組みの顔ぶれも規制環境も比較的安定しており、選定は難しい判断ではなかったという。

 しかしIDCは、2022年以降に選定の前提を根本から変える構造変化が4つ起きたと分析する。企企業はこれらの変化を、どう判断材料に組み込むべきなのか。

枠組み選定を変えた「4つの変化」とは

 IDCが挙げた4つの変化は、「NIST CSF 2.0」への改定、EUのデジタル運用レジリエンス法(DORA)の適用開始、ポスト量子暗号(PQC)の標準化、そしてAIがもたらした新たなリスクだ。具体的には次の通りだ。

NIST CSF 2.0への改定

 米国国立標準技術研究所(NIST)は2024年2月、サイバーセキュリティフレームワーク(CSF)を約10年ぶりに大きく改定した。新たに統治(Govern)機能が加わり、サイバーセキュリティは現場の運用課題から取締役会レベルのガバナンス課題に位置付けられた。対象範囲も業種や規模を問わない形に広がった。

DORAの全面適用

 DORAは2025年1月に全面適用となり、約2万2000のEUの金融事業者にICTリスク管理やサードパーティー管理を義務付けた。

PQCの標準化

 NISTは2024年8月、連邦情報処理規格(FIPS)203、204、205としてPQC標準を確定した。2025年3月には4件目となるHQCベースの標準も選定した。量子コンピュータへの備えは将来の研究課題ではなく実務課題となった。

AIによる新たなリスク

 NISTは2025年12月、AI向けサイバーセキュリティ指針案「Cyber AI Profile」(IR 8596)を公開し、CSF 2.0をAI関連のリスクに適用する考え方を示した。AIや大規模言語モデル(LLM)を業務に導入した組織は、AIガバナンスも枠組み選定の判断材料に加える必要がある。

 IDCは、自社の成熟度を超える枠組みや法令要件を十分に反映しない枠組み、サプライチェーンのリスクを見落とす枠組みを選ぶと、組織に定着し範囲を適切に絞ったシンプルな枠組みより成果が劣ると指摘した。

 枠組みの選定は技術的なチェックリストではなくリスク管理の意思決定であり、技術部門だけでなく法務、コンプライアンス、財務、事業部門、取締役会が関与する必要があるとした。2026年版の選定手法では、重要情報資産の分類を出発点に、規制対象組織と規制対象外組織で選定の道筋を分ける。さらに、AIガバナンスと量子コンピュータへの備えを、全組織に共通する評価項目として組み込んだ。

 選定手法は10の判断基準で構成され、情報資産の分類や法令要件、脅威の状況、AIの利用状況などを含む。加えてサードパーティーリスクや暗号技術の利用状況の棚卸し、PQC移行計画、組織の成熟度も重視した。複数の制度に同時対応する環境では、枠組み間の対応付けと、ガバナンスやリスク管理、コンプライアンスを統合管理するGRC製品の活用が不可欠と位置付けた。

規制の有無で分かれる2つの道筋

 規制対象の組織では、監督機関が採用する枠組みを事実上定める場合が多く、論点は枠組みの選定よりも運用に移るとIDCは説明した。DORAとISO 27001、米国の医療情報保護法(HIPAA)と「NIST SP 800-53」といった複数の制度に、証跡作業を重複させずに対応する方法が主な論点になる。IDCは、複数の規制や標準の要求事項を対応付けるGRC製品の選定や、予算内での対応順序、ICT委託先の評価も課題に挙げた。成熟した組織はCSF 2.0またはISO 27001を基盤とし、高リスクのベンダーには「NIST SP 800-161」を組み合わせる構成を採ることが多いと例示した。

 規制対象外の組織は、自社の成熟度を踏まえたより能動的な分析が必要とした。初期段階や中小規模の組織には、56項目で構成される「CIS Controls v8 Implementation Group 1」(IG1)を出発点として勧め、成長段階ではNIST CSF 2.0に対応付ける方法を紹介した。成熟した組織や高い脅威に直面する組織には、CSF 2.0またはISO 27001:2022を推奨した。特にCSF 2.0はGovern機能を備えており、取締役会レベルの説明責任や米証券取引委員会(SEC)の開示対応を支えることができる。規制対象外の組織でも、AIガバナンスと量子コンピュータへの備えの評価は必要と述べた。

 AI分野では、攻撃者がLLMを悪用した巧妙なフィッシングや脆弱(ぜいじゃく)性探索の自動化、モデル汚染やプロンプトインジェクションといった攻撃が広がると分析した。自律的に動作するエージェンティックAIを本番環境で運用する組織は、権限管理や監査可能性、モデルの完全性、サプライチェーン管理など、汎用(はんよう)の枠組みでは扱いきれないリスクに直面する。このためCyber AI Profileを補完的なガバナンス層として利用する考え方を示した。管理外で使われるシャドーAIやSaaSに組み込まれたAIも管理対象に含めるべきとした。

 PQCについては、暗号化されたデータを今のうちに収集し、量子コンピュータの実用化後に解読する「HNDL」(Harvest Now, Decrypt Later)のリスクが既に存在すると説明した。金融や医療、重要インフラのデータを保有する組織は影響を受ける可能性がある。米国家安全保障局(NSA)の暗号方針「CNSA 2.0」が国家安全保障システムに2030年までの移行を義務付けており、民間組織もこれを移行計画の目安とすべきとした。当面の課題として、暗号技術の利用状況の棚卸しや長期保存データを扱うシステムの優先順位付け、ベンダーのPQC対応計画の確認、従来暗号とPQCを併用するハイブリッド方式の評価を挙げた。

 IDCはセキュリティフレームワークを選定する企業に対し、AIガバナンスとPQCへの備えを将来の課題ではなく現時点の判断項目として扱い、10の判断基準を軸に関係部門との議論を組み立てるよう提言した。その上で、サードパーティーリスク管理やGRCの自動化、サイバーリスクの定量評価を組み込んだ5年間の段階的な計画を策定し、リスクの高い課題から着手して毎年見直すよう勧めた。

 ITベンダーやサービス事業者に対しては、市場構造が変化したとの見方を示した。CSF 2.0、ISO 27001、HIPAA、DORAに横断対応するコンプライアンス自動化や、AIガバナンス支援、暗号技術の棚卸しサービスを軸としたPQC支援体制の整備が必要と指摘した。財務部門を意識した提案や、中堅市場で需要が高まるコンプライアンス運用を代行するマネージドサービスへの対応も求めた。ロードマップとしては、CSF 2.0とDORAへの対応を直近の優先事項とし、2027年にCyber AI Profileへの対応、2030年までにPQCとEUサイバーレジリエンス法(CRA)への完全対応を挙げた。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る