Policy(提言・報告書) 科学技術、情報通信、知財政策  NISTのCSF改定案に対する意見

2022年4月25
一般社団法人 日本経済団体連合会
サイバーセキュリティ委員会
サイバーセキュリティ強化WG
英語版はこちら

1.フレームワーク間での関係性について

サイバーセキュリティフレームワークの中で、NIST SP800シリーズ間での関係性を明確化してはどうかと考える。例えば、サイバーセキュリティフレームワークとSP800-171を用いて対策をとっている企業がSP800-207(Zero-Trust Architecture)も適用した場合に、Coreの5本柱にどのような影響をあたえるのかの示唆があればよいと考える。

2.細分化されたフレームワークの軽重について

昨今のサイバーセキュリティフレームワークは「対処(Respond)」・「回復(Recover)」に重きが置かれている傾向があるため、軽重があってもいいのではないかと考える。

3.今後のフレームワークへの要望について

わが国はSociety 5.0というIoTで全ての人とモノがつながる社会を見据えている。数多くの企業がサイバーセキュリティの対策を実施する際、NISTのフレームワークを活用している。その中で各社に求められることは、システム間連携を止めることを極小化し、「対処(Respond)」と「回復(Recover)」を最小限にすることである。インシデントが発生し、「対処(Respond)」・「回復(Recover)」フェーズに至ると、ビジネスを止めなければならない。

これを回避するため、SP800-207のZTA(Zero-Trust Architecture)の考え方を導入し、「防御(Protect)」フェーズと「検知(Detect)」フェーズの間に「予防(Prevent)」フェーズを新設して、インシデントの発生によりビジネスを止める前に予防的な措置をとることが重要である。

「予防」は、サプライチェーンに関わるすべての「人(認証)」、「モノ(調達・経済安全保障)」や「プロセス」が本物であることを常に確認するZero-Trustで行われるべきである。

以上