What’s New in the NIST Cybersecurity Framework 2.0
2023/08/15 DarkReading — およそ 10年前に導入が開始された、サイバー・セキュリティの技術的ガイダンスである NIST (National Institute for Standards and Technology) の、CSF (CSF:Cybersecurity Framework) ドラフト版が発表された。これまでの CSF の対象は、エネルギー/銀行/病院などの主要インフラだったが、今回のアップデートでは、あらゆる規模の組織にまで範囲が拡大されている。
NIST の CSF 2.0 では、従来は5つの機能 (特定/保護/検知/対応/復旧) で構成されていた、フレームワークのサイバー・セキュリティ・プログラムに、6つ目の ガバナンス機能 が追加された。
8月8日に発表されたガイドラインには、「NIST は、 サイバー・セキュリティが企業リスクの主要な要因であり、法務/財務などのリスクなどと並んで、上級管理職が考慮すべき事項であることを強調している」と記されている。
また NIST は、新しいフレームワークにより、すべての規模の組織をサポートすることになったとしている。
CSF の開発責任者である Cherilyn Pascoe は、「このアップデートにより、CSF の現在の使用状況を反映し、将来の使用状況にも対応しようとしている。CSF は銀行やエネルギー産業などの重要なインフラ向けに開発されたものだが、学校/中小企業/地方政府/外国政府に至るまで、あらゆる組織で活用されている」と述べている。
CSF 2.0 のビジネス上のメリット
Viakoo の CEO である Bud Broomhead は、NIST の CSF 2.0 がカバーする範囲は、基本的なサイバー・セキュリティ機能だけではなく、エンタープライズの他の領域にも拡大していると、Dark Reading への声明で述べている。
さらに Broomhead は、「NIST フレームワークの対象を、あらゆる形態の組織に拡大することは、あらゆる組織がサイバー脅威に直面し、サイバー衛生/インシデント対応などを管理するための、計画の策定の必要性を認めるものだ。NIST の最新のアップデートにより、それぞれの組織は、脅威を低減するだけではなく、サイバー・セキュリティに関するコンプライアンス/監査/保険の要件にも、対応できるようになるだろう」とコメントしている。
このアップデートついて、Delinea の Chief Security Scientist であり、Advisory CISO でもある Joseph Carson は、「優れたリフレッシュ」だと称賛している。
声明の中でCarson は、「このフレームワークが、単に重要インフラ組織に焦点を当てたものから、すべてのセクターにガイダンスを提供する方向へ舵を切り、サイバー・セキュリティの脅威に適応していることは素晴らしいことだ。新しいフレームワークには、組織全体のサイバー・セキュリティ戦略をサポートするために、脅威に対応する方法の変化を認めるという、新しいガバナンスの機能が追加された」とコメントしている。
NIST は、CSF 2.0 のドラフト版に関するコメントを、11月4日まで募集している。
NIST の CSF フレームワークに関しては、これまでにも 2022/01/06 の「NIST の CSF フレームワーク:SaaS セキュリティへの適用は合理的」と、2022/12/06 の「NIST Cybersecurity Framework の概説:セキュリティの5つの要素を再確認する」で取り上げてきました。サイバー・セキュリティのコアを形成する CSF のアップデートに、期待が高まります。よろしければ、NIST で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.