経営層と「同じ言語」で会話するツール
「我が社のセキュリティは十分に強固か?」という社長の質問に対し、「最新のNGFWを導入し、EDRのアラートは月間10%減りました」と技術指標で答えるのは、CISOとして及第点とは言えません。経営者が知りたいのは技術的な数字ではなく、「今のリスクはビジネスに許容可能なレベルか?」という問いへの答えです。
NIST CSF(Cybersecurity Framework) は、米国国立標準技術研究所が策定した、サイバーセキュリティの現状と目標を**「ビジネスリスク」の観点で評価・コミュニケーションするための言語**です。民間企業から政府機関まで、世界中で最も広く採用されているセキュリティ・フレームワークであり、日本のIPAも強く採用を推奨しています。
6つのコア機能(CSF 2.0 へのアップデート)
2024年の「v2.0」への大幅改訂で、従来の5つの機能に新たに**「GOVERN(統治)」**がホイールの中心として追加されました。サイバーセキュリティがもはや「IT部門だけの課題」ではなく、「全社的な経営リスク」に昇格したことを明確に示す変化です。
| コア機能 | 実務における役割・具体的なアクション |
|---|---|
| 1. GOVERN(統治) ※中心機能 | ゲームのルールを決める 組織全体のリスク管理戦略の設計。経営層による責任の明確化、セキュリティポリシーの策定、サプライチェーン全体のリスク管理が含まれる。 |
| 2. IDENTIFY(識別) | 守るべきものを把握する 全IT資産(ハードウェア・ソフトウェア・データ)のインベントリ作成と、自社を取り巻く脅威環境の理解(リスクアセスメント)。 |
| 3. PROTECT(防護) | 入り口を塞ぐ ゼロトラストの導入、MFAの強制、フィッシング訓練、パッチ管理など、攻撃を未然に防ぐ予防的なコントロール。 |
| 4. DETECT(検知) | 異常に気付く SIEMやEDRを用いた24時間365日の継続監視、脅威ハンティング、通常と異なる振る舞い(アノマリー)の検出。 |
| 5. RESPOND(対応) | 火を消す インシデント発生時の封じ込め(隔離)、CSIRTによるインシデント対応計画(IRP)の実行、影響範囲の分析と関係者への通知。 |
| 6. RECOVER(回復) | ビジネスを再開する イミュータブルバックアップからの復旧、原因の完全排除、システム再稼働、そしてポストモーテムを通じた再発防止策の策定。 |
プロファイル(Profile)によるギャップ分析
NIST CSFの実務的な価値は、**「現在の状態(Current Profile)」と「目標とする状態(Target Profile)」**を定義し、そのギャップを論理的に示せることにあります。
たとえば「DETECT機能のうち、ネットワーク上の異常活動の検知については、現状はファイアウォールのログを人手で確認するだけだ(現状)。来年中にEDRとSIEMを連携させて自動アラートを出せるようにする(目標)。そのためにX百万円の予算とSOC運用のアウトソースが必要だ(ロードマップ)」というように、経営層が納得できる形でセキュリティ投資の根拠を語れるようになります。
CSFでは組織の成熟度を「ティア(Tier 1〜4)」で評価しますが、これは成績表ではありません。 軍需産業や大手金融機関であれば適応的な防衛能力を持つ「ティア4」が求められますが、地域の製造業が無理にティア4を目指してもコストに見合いません。「自社のビジネスリスクに見合った適切な目標ティア(例:ティア2や3)を設定し、そこへ到達・維持すること」こそがCSFの本来の目的です。
国際法制・規制とのアライメント
2026年現在、NIST CSF 2.0 はグローバルな規制対応の根幹として機能しています。
- EU NIS2指令(重要インフラ向け規制):CSFの「GOVERN」と「RESPOND」機能の実装は、NIS2の監査要件に高い精度でマッピングできます。
- CMMC 2.0(米国防総省サプライチェーン規制):NIST SP 800-171と並んで、CSFに対応したセキュリティ体制の構築が要求されています。
- SEC新規則(米証券取引委員会):上場企業に対してサイバーセキュリティの「ガバナンス体制」の開示が義務付けられており(CSFのGOVERNに直結)、取締役会レベルの関与が求められています。
【確認問題】NIST CSF 2.0 へのメジャーアップデートに伴い、サイバーセキュリティが組織の経営戦略およびエンタープライズ・リスク管理と緊密に連携すべきであるという思想に基づき、新たに「6つ目のコア機能(ホイールの中心)」として追加されたカテゴリーはどれですか?