NIST CSF とは
NIST Cybersecurity Framework(CSF) は、米国国立標準技術研究所(NIST)が策定したサイバーセキュリティリスク管理のフレームワークです。2014年にv1.0が発表され、2024年2月にv2.0に改訂されました。
特定業種に依存せず、中小企業から大企業・政府機関まで幅広く活用できる点が特徴です。日本でもIPAがガイドラインの参考として推薦しています。
2024年のCSF 2.0では「Govern(統治)」機能が新たに追加され、5機能から6機能に拡張されました。これにより経営層の責任とサプライチェーンリスク管理が強調されています。
6つのコア機能
1. GOVERN(統治)— CSF 2.0 新機能
セキュリティリスク管理の方針・手順・役割・責任を定義します。
- セキュリティ戦略とリスク許容度の決定
- 経営層のサイバーセキュリティへの関与
- サプライチェーンリスク管理
- ポリシー・標準・手順の整備
2. IDENTIFY(識別)
組織が管理する資産・リスクを把握します。
- 資産管理(ハードウェア・ソフトウェア・データ)
- リスクアセスメントの実施
- 脅威インテリジェンスの活用
- ビジネス環境・法的要件の理解
3. PROTECT(防護)
重要サービスの継続を確保するための対策を実装します。
- アクセス制御・最小権限
- セキュリティ意識向上トレーニング
- データ保護・暗号化
- 情報保護プロセスとシステム
- 設定管理・脆弱性管理
4. DETECT(検知)
サイバーセキュリティイベントの早期発見を可能にします。
- セキュリティ継続的監視
- 検知プロセスの整備
- アノマリ・イベントの検知
5. RESPOND(対応)
検知したインシデントへの対応活動です。
- インシデント対応計画(IRP)の実行
- 通信(ステークホルダーへの通知)
- 分析・根本原因の特定
- 軽減策の実施
6. RECOVER(回復)
正常運用への復旧と学びの反映です。
- 復旧計画の実行
- 改善点の特定と実装
- ステークホルダーへのコミュニケーション
実装ティア(成熟度レベル)
CSFは4段階の実装ティアで組織の成熟度を評価します。
| ティア | 名称 | 特徴 |
|---|---|---|
| ティア1 | Partial(部分的) | リスク管理がアドホックで非公式。認識が限定的 |
| ティア2 | Risk Informed(リスク認識) | リスクを認識しているが、組織的なプロセスなし |
| ティア3 | Repeatable(再現可能) | 公式なポリシーとプロセスが存在。定期的に更新 |
| ティア4 | Adaptive(適応的) | 継続的な改善。脅威インテリジェンスを活用して動的に対応 |
CSFのティアは「高ければ良い」ではなく、ビジネスリスクと適切に対応することが目標です。中小企業がティア2〜3でも、リスクを適切に管理していれば十分なことがあります。
CSF プロファイルの活用
プロファイルは組織の「現在の状態(Current Profile)」と「目標状態(Target Profile)」を定義します。ギャップ分析によって優先度の高い改善施策を特定できます。
現在の状態(Current Profile)
↓ ギャップ分析
目標状態(Target Profile)
↓ ロードマップ作成
優先度付きの改善施策MITRE ATT&CK との組み合わせ
NIST CSFとMITRE ATT&CKは補完関係にあります。
| NIST CSF 機能 | MITRE ATT&CK の活用 |
|---|---|
| IDENTIFY | 脅威インテリジェンスで攻撃者のTTPを把握 |
| DETECT | ATT&CKテクニックに対応するSIEM検知ルール |
| RESPOND | ATT&CKのプロシージャを参照して対応手順を策定 |
2025〜2026年の関連動向
国際規制との整合
2025〜2026年にかけて、NIST CSF 2.0は国際的な規制フレームワークとの整合が進んでいます。
| 規制 | 概要 | CSFとの関係 |
|---|---|---|
| EU NIS2指令 | 重要インフラ事業者へのサイバーセキュリティ義務化。初回監査期限は2026年6月30日 | CSFのGovern/Protect/Detect機能がNIS2のリスク管理要件にマッピング可能 |
| EU DORA | 金融セクター向けデジタルオペレーショナルレジリエンス規制 | CSFのRecover機能とDORAのICTリスク管理・報告要件が対応 |
| CMMC 2.0 | 米国防総省契約者向けサイバーセキュリティ成熟度認証 | NIST SP 800-171に基づき、CSFと共通のコントロール体系 |
NIST IR 8286 改訂とCSF 2.0との連携
2025年12月、NISTはIR 8286シリーズ(サイバーセキュリティとエンタープライズリスク管理の統合)を改訂し、CSF 2.0との整合性を強化しました。これにより、CISOが経営層にリスクを報告する際のフレームワークが統一されています。
AI向けCSFプロファイル
2026年1月、NISTはCybersecurity Framework Profile for Artificial Intelligence(Cyber AI Profile) のドラフトに関するワークショップを開催しました。AI固有のリスク(モデルの汚染、プロンプトインジェクション、データポイズニング等)をCSFの6機能にマッピングするためのガイダンスです。
2025年の調査で、NIST CSFは2年連続で「最も価値があると評価されるセキュリティフレームワーク」に選ばれました。業種・規模を問わず適用できる柔軟性と、Govern機能追加によるガバナンス強化が評価されています。
NIST CSF 2.0 で追加された新しいコア機能はどれですか?