コンプライアンスとフレームワーク
NIST サイバーセキュリティフレームワーク
別称: NIST CSF, サイバーセキュリティフレームワーク
定義
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
NIST Cybersecurity Framework(NIST CSF)は、米国国立標準技術研究所(NIST)が 2014 年に初版を公開し、2024 年にバージョン 2.0 として大幅に改訂した、広く採用されている任意のガイドラインです。サイバーセキュリティの成果を「Govern(統治)」「Identify(識別)」「Protect(防御)」「Detect(検知)」「Respond(対応)」「Recover(復旧)」の 6 つのコア機能に整理し、それぞれカテゴリ・サブカテゴリへ細分化したうえで、NIST SP 800-53、ISO/IEC 27001、CIS Controls などの既存の統制と相互参照しています。業種に依存せず、あらゆる規模の組織が現状評価・目標プロファイル設定・改善の優先順位付けに利用できます。米国発ですが、世界中で利用され、各地域の規制とのマッピングにも活用されています。
例
- 病院が CSF 2.0 を用いて自組織のサイバーセキュリティ プログラムを同業他社と比較する。
- ベンダーが自社製品の機能を Protect/Detect 機能にマッピングする。
関連用語
NIST SP 800-53
米国 NIST が発行する、連邦情報システムおよび多くの民間採用者向けの包括的なセキュリティ・プライバシー統制カタログ。
NIST Risk Management Framework
NIST Risk Management Framework — definition coming soon.
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
CIS Controls
Center for Internet Security が維持する、最も一般的なサイバー攻撃から組織を守るための優先順位付きベストプラクティス管理策セット。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。