Hello there, ('ω')ノ
NISTサイバーセキュリティフレームワーク(NIST CSF)は、多くの企業や組織で採用されている強力なセキュリティ対策の枠組みですが、「どのように構成されているのか?」を正しく理解していないと、うまく活用することができません。
NIST CSFは、次の3つの要素で構成されています。
- コア(Core):サイバーセキュリティ対策の基本となる6つの機能
- ティア(Tiers):組織のセキュリティ成熟度を評価する仕組み
- プロファイル(Profiles):現在のセキュリティ状態と目標を設定する指標
これらを理解することで、NIST CSFを自社の環境に適用しやすくなります。
1. コア(Core) – NIST CSFの中心となる6つの機能
NIST CSFの「コア」は、サイバーセキュリティ対策を体系的に整理し、組織がどのようにリスクを管理すべきかを示す基本構造です。
コアは以下の6つの機能(Functions)で構成されています。
| 機能 | 目的 |
|---|---|
| Govern(統治) | セキュリティの方針やリスク管理を組織全体で統括 |
| Identify(特定) | 守るべき資産やリスクを明確にする |
| Protect(防御) | 攻撃を防ぐための対策を実施 |
| Detect(検知) | 異常を素早く検知する仕組みを整える |
| Respond(対応) | 攻撃が発生した際の対応を決定 |
| Recover(復旧) | 攻撃後に速やかに復旧し、業務を継続する |
この6つの機能は、それぞれの組織がセキュリティ対策を進める際の基本指針となります。例えば、「Identify(特定)」を適切に実施しないと、何を守るべきなのかが分からず、無駄な対策にリソースを割いてしまう可能性があります。
2. ティア(Tiers) – セキュリティ成熟度を評価する指標
NIST CSFには、「ティア(Tiers)」というセキュリティ成熟度を評価する仕組みがあります。組織のサイバーセキュリティの取り組みレベルを4段階で評価し、どこを強化すべきかを明確にできます。
| ティア | 特徴 |
|---|---|
| ティア1(部分的 – Partial) | セキュリティ対策が場当たり的で、組織全体としての管理がない |
| ティア2(リスク認識 – Risk Informed) | 一部の部署でリスク管理を実施しているが、組織全体で統一されていない |
| ティア3(反復可能 – Repeatable) | セキュリティ管理が組織全体で標準化され、定期的に見直しを実施 |
| ティア4(適応的 – Adaptive) | 最も成熟した段階。新たな脅威に柔軟に対応し、継続的に改善を行う |
この続きはcodocで購入
