Hello there, ('ω')ノ
サイバーセキュリティ対策を進めるうえで、「今どのレベルにいるのか?」「将来的にどこを目指すべきか?」を明確にすることは非常に重要です。目的地がはっきりしないままでは、適切な対策を講じることが難しくなります。
そこで、NISTサイバーセキュリティフレームワーク(NIST CSF)は、「プロファイル(Profiles)」という仕組みを使って、現在のセキュリティ状態と理想の状態を可視化することを推奨しています。プロファイルを作成することで、セキュリティの「地図」を描き、目標に向かって計画的に対策を進めることができます。
プロファイルとは?
プロファイル(Profiles)とは、組織のサイバーセキュリティの現状を評価し、将来目指すべき状態を定めるための指標です。
プロファイルを作成することで、次のようなメリットがあります。
✅ 現状のセキュリティレベルが可視化される
✅ 目指すべき目標が明確になる
✅ 必要な対策の優先順位を決めやすくなる
✅ 組織ごとのニーズに合わせたカスタマイズが可能
プロファイルを活用すれば、組織の規模や業種に応じて、最適なセキュリティ計画を立てることができます。
2つのプロファイル
NIST CSFでは、プロファイルを大きく「現状プロファイル」と「目標プロファイル」の2つに分けて考えます。
| プロファイル | 目的 |
|---|---|
| 現状プロファイル(Current Profile) | 現時点でのセキュリティ対策の状態を評価 |
| 目標プロファイル(Target Profile) | 将来的に目指すべき理想のセキュリティ状態を定義 |
この2つを比較することで、「どの部分を強化すべきか」「どの段階でどの対策を実施するか」を決めることができます。
現状プロファイル(Current Profile)の作成
🔹 何をするプロセスなのか?
「現状プロファイル」は、組織の現在のセキュリティレベルを客観的に評価するプロセスです。
まず、以下のような情報を整理します。
✅ どのセキュリティ対策がすでに導入されているか?
✅ どの機能(Govern、Identify、Protect、Detect、Respond、Recover)が強化されているか?
✅ 組織全体で統一されたポリシーがあるか?
✅ 作成の手順
- NIST CSFの6つのコア機能に沿って、現在の対策状況を評価する
- 例えば、「Protect(防御)」の部分では、アクセス管理、暗号化、ファイアウォールの有無などをチェック。
- ティア(成熟度レベル)を参考に、組織の現状レベルを判断する
- 例えば、ティア1(部分的)なのか、ティア3(反復可能)なのかを確認。
- 組織全体での認識を統一するために、関係者と情報共有を行う
- IT部門だけでなく、経営層や各部門の担当者と話し合いながら評価を進める。
💡 ポイント:現状プロファイルを正確に把握しないと、目標プロファイルとのギャップが不明確になり、適切な対策を立てにくくなる。
