NIST CSF 2.0 が正式リリース:ニーズに応じたカスタマイズが可能なリソースとして活用!

NIST Cybersecurity Framework 2.0 Officially Released

2024/02/27 SecurityWeek — NIST Cybersecurity Framework (CSF) 2.0 の正式リリースが、2月26日に発表された。CSF の本来の対象は重要インフラ組織であるが、その他の業種などでも幅広く利用され、推奨されるようになった。そのことから、CSF 2.0 は セクター/規模/セキュリティなどの高低に関係なく、全ての組織のリスク低減を支援するように設計されていると NIST は強調している。


ユーザー組織における CSF の活用が最大化するよう、NIST CSF 2.0 のドラフト版に寄せられたフィードバックに基づき、中核となるガイダンスは拡充され、追加のリソースも作成されている。

CSF 2.0 の目的は、国家としてサイバー・セキュリティ戦略の実施を支援することであり、6つの主要分野 (特定/保護/検知/対応/回復/ガバナンス) を中心に構成されている。このガバナンスは、今回の CSF の大幅なアップデートに伴い、新たに導入されたものだ。

CSF 2.0 の開発に携わった HITRUST の Chief Strategy Officer である Robert Booker は、「ガバナンス機能の追加は、これまでの NIST CSF に欠けていた、リスク管理などの重要な要素を補完するものだ」と、メールで語っている。

CSF 2.0 の利用者には、特定のニーズに合わせた実装例と、Quick-Start Guides が提供される。さらに CSF 2.0 では、ガイダンスから 50以上の関連するサイバー・セキュリティ文書へと、ユーザー組織がマッピングを可能にするための、検索可能な参考文献のカタログも提供している。

NIST CSF 1.1 が、10ヵ国語以上の言語に翻訳されていることから、CSF 2.0 も、世界中のボランティアにより翻訳されるだろう。

NIST の Director である Laurie E. Locascio は、「CSF は、サイバー・セキュリティ脅威の予測/対処に貢献してきた、多くの組織にとって不可欠なツールだ。旧バージョンを基にした CSF 2.0 は、単なる1つの文書ではない。組織のサイバー・セキュリティのニーズが変化し、その能力が進化するにつれて、一連のリソースである CSF 2.0 を、個別にカスタマイズし、また、組み合わせて使用できる」と語っている。

産業用サイバー・セキュリティ企業 Dragos の公共政策/政府関係責任者である Katherine Ledesma は、産業制御システム (ICS:Industrial Control Systems) や運用技術 (OT:Operational Technology) システムを持つ組織にとっての意味とメリットについて、以下のような興味深いコメントを発表している。

Ledesma は、「2023年に発表された国家サイバー・セキュリティ戦略と同様に、CSF 2.0 もサイバー・セキュリティの在り方を変化させるものだ。つまり、コストとしてしか捉えられていなかったサイバー・セキュリティ投資が、事業運営に対する保護と支援の手段へと変わっていく。この傾向は、特に ICS/OT のサイバー・セキュリティにおいて顕著である。そのような新たな捉え方は、安全で継続的な運用を維持する必要がある製造施設や、信頼性の高い重要なサービスを地域社会に提供する必要がある電力会社/水道会社にとって、特に重要なことだ」と、SecurityWeek に対して語っている。

彼女は、「CSF 2.0 の機能/カテゴリ/サブカテゴリは、IT/OT の両方の環境に適用できるような、広範なものであることが確認されている。しかし、CSF と関連ガイダンスをめぐる議論が進むにつれて、ICS/OT システムのユニークな目的とリスクを考慮して、ICS/OT を保護するために必要な、独自のアプローチに関心が払われるようになるだろう。そこに含まれるものには、”Guide to OT Security” などのドキュメントの継続的な更新や、広範な計画やガイダンス文書への、それらの概念の取り込みがある」と述べている。

ついに、NIST Cybersecurity Framework 2.0 が、正式にリリースされました。たいへんな作業ですが、目を通さなければならないという方々も、きっと多いことかと思います。なお、CSF 1.0 に関しては、2022/12/06 の「NIST Cybersecurity Framework の概説:セキュリティの5つの要素を再確認する」をご参照ください。