What is the NIST Cybersecurity Framework?

NIST Cybersecurity Framework (CSF) は、米国国立標準技術研究所 (NIST) が開発したツールで、効果的なサイバーセキュリティ プログラムの設計方法について企業に情報を提供します。

2024 年 2 月、NIST は、推奨事項を更新し、あらゆるタイプの組織をサポートするように範囲を拡大するように設計されたフレームワークの新しいメジャー バージョンを公開しました。 このバージョンには、企業がサイバーセキュリティプログラムを作成および改善するために設計された新しいガイダンスと追加のリソースが含まれていました。

NISTバイヤーズガイド セキュリティ管理のギャップ分析

NIST コンプライアンスを実装する理由

NIST CSFは、政府機関や連邦サプライチェーンの一部を含む公共部門で唯一必要なサイバーセキュリティ標準です。 ただし、民間部門の組織も、このフレームワークに準拠することで利益を得ることができます。

NIST CSFの最大の利点の1つは、企業のサイバーセキュリティプログラムを実装するための包括的でアクセス可能なガイドを提供することです。 完全な NIST コンプライアンスを実装している組織は、他の必要な規制や標準にもほぼまたは完全に準拠している可能性があります。

また、NIST と他のフレームワークとの間のクロスマッピングを利用して、このコンプライアンスを実証し、実装する必要のある他の制御を特定することもできます。

NIST サイバーセキュリティ フレームワークのコア コンポーネント

NIST CSF は、一連のコア機能で構成されています。 2024 年 2 月の CSF バージョン 2.0 への更新で、NIST は新しいコア関数である Govn を追加しました。

コア機能のフルセットには、次のものが含まれます。

  1. 治める: ガバナンス機能は、組織がサイバーセキュリティリスク管理戦略、期待、およびポリシーをどのように確立する必要があるかを説明します。
  2. 識別する: Identify 機能は、組織に対するサイバーセキュリティ リスクの特定と理解に重点を置いています。
  3. 守る: 保護機能は、特定されたサイバーセキュリティリスクを管理するためのセキュリティ制御を組織が実施する必要があることを指定します。
  4. 見付ける: Detect 機能は、組織が潜在的な サイバー攻撃 や侵害を見つけて分析する方法を説明しています。
  5. 応じる: Respond機能は、検出されたサイバーセキュリティインシデントに企業がどのように対処すべきかを説明しています。
  6. 回復する: Recover機能は、サイバーセキュリティインシデント後に組織が通常の運用を回復するためのプロセスを詳しく説明します。

NIST CSF は、コア機能 2 から 6 を連続ホイールとして編成し、Govern 機能はそれらすべてにまたがっています。 これらのコア機能の下には、これらの目標を達成する方法に関するより詳細なガイダンスを提供する多数のカテゴリとサブカテゴリがあります。

NIST サイバーセキュリティ フレームワークの実装

NIST CSF バージョン 2.0 への更新の主な目標の 1 つは、CSF をよりアクセスしやすく、実装しやすくすることでした。 これらの例には、次のようなものがあります

  • 導入事例s: 実装例は 、NIST CSF の特定のサブカテゴリで説明されているプロセスまたは制御を組織がどのように実装するかの例を示しています。
  • クイックスタート ガイドs (QSGs): NISTのQSGは 、組織がCSFの特定の部分を実装するための 「最初のステップ」 を提供します。

NIST CSFの導入を検討している企業は、以下のステップを踏む必要があります。

  1. ギャップ分析を実行します。 組織には、CSFの一部の側面がすでに導入されている可能性がありますが、他の側面はまだ実装する必要があります。 ギャップ分析を行うことで、現在のセキュリティプログラムはどこで不十分で、どこにサイバーセキュリティの取り組みを集中させる必要があるかを判断することができます。
  2. 改善する領域を選択します。 ギャップ分析に基づいて、組織は既存のコントロールが最も弱い領域、または標準から最も遠い領域を特定できます。 そこに努力を集中させることで、最大のギャップを最初に修正することで、価値実現までの時間を短縮できます。
  3. NIST リソースを使用する: NISTの実装例とQSGは、組織がセキュリティプログラムの一部を作成または改良するのを支援するように設計されています。 これらのツールを使用して、ビジネス環境にコンプライアンスに準拠したセキュリティアーキテクチャを実装する方法を確認してください。
  4. 監視とレビュー: 企業のITアーキテクチャとセキュリティ要件は時間の経過とともに変化し、セキュリティ制御が最初の試行で機能しないことがあります。 コンプライアンスを維持するためには、継続的な監視と定期的なレビューが不可欠です。
  5. 反復して繰り返す: 企業の サイバーセキュリティ プログラムにおける最も差し迫った欠陥に対処した後、次の最大の問題に取り組みます。

チェック・ポイントがNISTコンプライアンスをどのように支援できるか

規制要件を実際の実装にマッピングすることは、困難な見通しになる可能性があります。 NIST CSFは、実装プロセスを支援するためのさまざまなリソースを提供していますが、効果的でコンプライアンスに準拠したサイバーセキュリティアーキテクチャを設計し展開するには、セキュリティと規制に関する知識と専門知識の組み合わせが必要です。

チェック・ポイント Infinity Global Services は、組織の NIST CSF コンプライアンスの取り組みをサポートするために設計されたものを含む、さまざまなセキュリティサービスを提供しています。

NIST Control-Based Assessment では、サイバーセキュリティ チームが組織のセキュリティ制御を包括的にオンサイトで評価し、それらを NIST 要件と比較します。この分析に基づいて、チームは潜在的なコンプライアンスのギャップを特定し、組織が NIST コンプライアンスを強化する方法を特定します。

スタート

Compliance Software Blade

Unified Cyber Security Platform

パブリッククラウドのコンプライアンス

セキュリティ管理のギャップ分析

関連トピック

SOC 2 Compliance

PCI DSS コンプライアンス

デジタル・オペレーショナル・レジリエンス法(DORA)

クラウド・コンプライアンス

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK