NIST が Cybersecurity Framework 2.0 を公開：3 つの主要リソースを統合してリスク管理を促進

NIST Releases Quick-Start Guide on Cybersecurity, Risk, and Workforce Management

2026/03/24 CyberSecurityNews — National Institute of Standards and Technology (NIST) は、NIST SP 1308 “Cybersecurity, Enterprise Risk Management, and Workforce Management Quick-Start Guide” を公開した。2026年3月に “Cybersecurity Framework 2.0” として公開されたドキュメントは、Cybersecurity Risk Management (CSRM) を Enterprise Risk Management (ERM) 戦略へ統合するための、体系的手法を提供するものだ。

この “NIST Cybersecurity Framework 2.0” は、急速に進化するサイバー脅威へ対応する人材の、俊敏な適応を実現する Workforce Planning の重要性を強調している。

コアセキュリティ・フレームワークの統合

このガイドは、3 つの主要な NIST リソースを統合し、ワークフォース中心の ERM プロセスを提示する。

ユーザー組織は、 Cybersecurity Framework (CSF) 2.0 を用いてセキュリティ成果を定義し、National Initiative for Cybersecurity Education (NICE) Framework を用いて必要な技術スキルを特定する。

さらに NIST IR 8286 におけるガバナンス・テンプレートと連携することで、経営層はサイロを解消し、採用／スキル強化／リソース配分に関する意思決定を可能にする。

この統合を実装するために、NIST は CSF Organizational Profile を中心とした実装ライフサイクルを提示している。

最初にステークホルダーが行うべきことは、ビジネスへの影響の分析と高価値資産の特定であり、重要なセキュリティ・リスクを企業ミッションと整合させることだ。続いて、リスク許容度／規制要件／既存人材スキルのインベントリなどの情報が、部門横断チームにより収集される。

それにより、組織としての現状のプロファイルと、目標とするプロファイルが作成され、現状のセキュリティ状態と長期目標が可視化される。

この 2 つのプロファイルの比較により、ギャップの分析が可能となる。つまり、リスク・オーナーは具体的な脆弱性を評価し、それに対応するための能力を、内部チームが持っているかどうかを判断できるようになる。

その後に、優先度に基づくアクション・プランを策定し、人材に関する施策を実施し、セキュリティ強化を通じてリスクを低減する。

ワークフォース・リスクへの対応

内部に蓄積された能力が、目標とされるセキュリティ要件に達しない場合には、人材ギャップを解消するための具体的な施策を実施する必要性が生じる。

それに対応するためには、新規採用／外部委託による補完／社内育成プログラムの実施などが必要になる。

人材の拡充が困難な場合に、経営層にとって必要なことは、リスク回避／リスク移転／リスク受容といった戦略的な対応である。

現代の脅威環境は高度に動的であるため、このガイドが要求するのは、戦略の継続的な管理／評価／調整である。

財務部門およびセキュリティ担当を内包する、部門横断チームにとって必要なことは、組織全体を俯瞰しながら、リスク対応を継続的に監視し、技術的な統制を維持することだ。

人材に関する施策が期待通りに機能しない場合には、組織は迅速に対応を見直し、人材再配置やリスク対応の変更を検討する必要がある。

訳者後書：2026年3月に NIST が公開した、新たなガイドライン “NIST SP 1308” について解説する記事です。このガイドの主な目的は、サイバー・セキュリティのリスク管理 (CSRM) を、 組織全体の経営リスク管理 (ERM) の一部として統合し、それを支える人材 (ワークフォース) の確保と育成を体系化することにあります。

もし、 内部の能力が目標に届かない場合には、 新規採用／アウトソーシング／社内育成プログラムの実施といった、具体的な人材施策を要求します。人材の確保が困難な場合には、 リスクの回避／受容といった、 リスクベースの戦略的な判断を下す必要があると、NIST は指摘しています。この一連の流れは一度きりのものではなく、 脅威の変化に合わせて継続的に監視し、 調整し続けることが求められています。よろしければ、NIST での検索結果も、ご参照ください。