1. トップ
  2. Action(活動)
  3. 週刊 経団連タイムス
  4. 2022年5月26日 No.3545
  5. NISTサイバーセキュリティフレームワークの改定

Action(活動) 週刊 経団連タイムス 2022年5月26日 No.3545 NISTサイバーセキュリティフレームワークの改定 -サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ

経団連は4月18日、サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ(和田昭弘主査)をオンラインで開催した。日本電信電話セキュリティ・アンド・トラスト室の木村正人次長から、NIST(National Institute of Standards and Technology、米国国立標準技術研究所)のサイバーセキュリティフレームワーク改定について説明を聴いた。概要は次のとおり。

■ フレームワークの概要

NISTのサイバーセキュリティフレームワークは、重要インフラ企業におけるサイバーセキュリティマネジメントの枠組みを定めたガイドラインである。同フレームワークは、米国オバマ政権における大統領令に基づき、重要インフラのサイバーセキュリティ強化を目的として、2014年2月に制定された。米国の重要インフラだけでなく官公庁や一般企業で活用されているほか、諸外国でも認知、評価が高く、グローバル・スタンダードになりつつある。わが国においても、経済産業省の「サイバーセキュリティ経営ガイドライン」や内閣官房の「重要インフラ行動計画」において、同フレームワークが参照されている。

■ フレームワークの特徴

近年、経営者には、高度化・巧妙化するサイバー攻撃へのセキュリティ対策について、ステークホルダーへの説明が求められている。そのための共通言語となるよう、同フレームワークには、専門用語を極力使わない等、サイバーセキュリティの専門家以外にも理解しやすい工夫が凝らされている。

同フレームワークでは、対策を「識別・防御・検知・対応・復旧」の5つのステップに分けてわかりやすく提示した、Coreと呼ばれる対策一覧が記載されている。このほか、企業のセキュリティリスク管理の成熟度を示すTierや、企業・業界ごとのビジネス特性に応じて、現状・あるべき姿・ギャップを把握し、サイバーセキュリティ対策の優先順位付けをするProfileも盛り込まれている。

■ フレームワークの改定

NISTは、同フレームワークの改定方針を定めるため、現行フレームワークの使い勝手の向上や、ISOなどの他の標準類との整合性・統合可能性等に関する情報提供依頼(Request for Information)を今年4月25日まで実施している(注1)。グローバルにビジネスを展開している企業に対して、NIST CSFを活用したセキュリティ対策状況の説明を求められることがあるため(注2)、日本企業もNIST CSFの改定の際に意見を提出するなど、CSFの改定に関与するとともに、理解を深めていくことが重要である。

(注1)これに対し、同ワーキング・グループとして意見を提出した
https://www.keidanren.or.jp/policy/2022/045.html

(注2)例えば、米国の対米外国投資委員会(CFIUS)では、米国企業の買収・投資時の審査の際に、NIST CSFを使ったセキュリティ対策の説明が求められている

【産業技術本部】

「2022年5月26日 No.3545」一覧はこちら