CyberFix Note
ガバナンス・コンプライアンス

NIST CSFで自組織のリスクを棚卸しする。6つの機能で現在地を測る進め方

対象の目安: 経営層・セキュリティ責任者 / 情報システム部門 / 実務

ノゾミガバナンス・法務担当
・ 約16分で読めます
NIST CSFで自組織のリスクを棚卸しする。6つの機能で現在地を測る進め方

「うちのセキュリティ対策は十分なのか」という問いに、自信を持って答えられる組織は多くありません。ファイアウォールもアンチウイルスも入っている、バックアップも取っている。それでも「足りているのか、過剰なのか、抜けはないのか」を体系的に説明しようとすると、途端に言葉に詰まります。個々の対策はあっても、それらを並べて全体を俯瞰し、優先順位を語るための共通の物差しを持っていないからです。

この物差しとして世界的に使われているのが、米国NIST(米国国立標準技術研究所)が公開するサイバーセキュリティフレームワーク、通称NISTCSFです。CSFは、何か特定の製品を売り込むものでも、満たすべきチェックリストでもありません。組織が「どのような状態を目指すか」という成果(アウトカム)の集まりを、共通の言葉で整理した枠組みです。だからこそ、技術者が現場の対策を語るときにも、経営層が投資判断を語るときにも、同じ地図の上で会話ができます。

この記事は、CSFを使って自組織のリスクを棚卸しし、現在地を測るための実務ガイドです。2024年に公開されたCSF2.0で新たに中心に据えられた「統治(Govern)」を含む6つの機能を一つずつ噛み砕き、それぞれをどう自組織に当てはめて点検するかを示します。対象は、セキュリティ責任者や経営層、そして実際に棚卸しの手を動かす情報システム部門の方です。完璧な評価を目指すのではなく、「まず自分たちの現在地を言葉にする」ための最初の一歩を提供します。

NIST CSFとは何か。なぜ「物差し」として使えるのか

NISTCSFは、もともと米国の重要インフラのサイバーセキュリティを改善する目的で2014年に初版(1.0)が公開され、2018年に1.1、そして2024年2月にCSF2.0として約10年ぶりの大幅改訂が行われました。改訂版は重要インフラに限らず、規模や業種を問わずあらゆる組織が使えることを明確に打ち出しています。

CSFの本質は、「やるべき技術的対策の一覧」ではなく「達成したいセキュリティ上の成果(アウトカム)の体系」だという点にあります。たとえば「資産を識別する」「アクセスを管理する」「異常を検知する」といった成果が階層的に整理されており、それをどの製品や手順で実現するかは各組織に委ねられています。この「何を(What)」と「どうやって(How)」を分けている設計が、CSFを物差しとして優れたものにしています。製品やベンダーが変わっても、目指す成果の地図は変わらないからです。

NIST Cybersecurity Frameworkの公式ページ。CSF 2.0の本体文書(NIST.CSWP.29)やクイックスタートガイド、組織プロファイルなどの一次資料が集約されています。

国内で参照する際は、IPA(情報処理推進機構)がNIST文書の解説や関連情報を公開しているページが入り口として便利です。CSF本体は英語ですが、IPAが日本の文脈に沿った補足を提供しており、国内のガイドラインとの位置づけを理解するうえで役立ちます。

IPA「セキュリティ関連NIST文書について」。CSFを含むNISTの主要文書について、日本での参照価値が高いものの解説や関連情報を整理したページです。

CSF 2.0の構造。Core・Tier・Profileの三層

CSFを棚卸しに使うには、まずその構造を押さえる必要があります。CSFは大きく三つの要素で構成されます。

一つ目がCore(コア)です。これがCSFの中身そのもので、6つの機能(Function)、その下のカテゴリ、さらに細かいサブカテゴリという階層で「目指すべき成果」が整理されています。棚卸しのときに点検する項目は、このCoreから取ります。

二つ目がTier(ティア)です。これは組織のサイバーセキュリティリスク管理の取り組みが、どれくらい体系化・厳格化されているか(リスクの意思決定がどれだけ組織全体に統合されているか)を4段階(部分的、リスク情報を活用、繰り返し可能、適応的)で表す目安です。注意したいのは、NISTはTierを「成熟度レベルそのもの」とは位置づけておらず、また「高ければ偉い」という成績表でもない点です。自組織の事業リスクに見合った段階を選ぶための参照点として使います。

三つ目がProfile(プロファイル)です。Coreの成果のうち、自組織にとって何が重要かを選び、「現状プロファイル(今できていること)」と「目標プロファイル(目指す姿)」を描いて、その差(ギャップ)を埋める計画を立てます。リスク棚卸しの実務は、まさにこの現状プロファイルを描く作業に相当します。

メモ

Coreは「点検する項目集」、Tierは「取り組みの成熟度の目安」、Profileは「現状と目標の対比図」と覚えると整理しやすくなります。棚卸しでまず手を動かすのは、Coreを物差しに現状プロファイルを描くことです。

6つの機能を一つずつ。何を点検するのか

CSF2.0の中心は、6つの機能(Function)です。CSF1.1までは識別・防御・検知・対応・復旧の5つでしたが、2.0で新たに「統治(Govern)」が加わり、6つになりました。NISTは統治を、他の5機能を取り囲み方向づける中心として位置づけています。順番に見ていきます。

NIST CSF 2.0の本体文書(NIST.CSWP.29、2024年2月公開)。6つの機能(Govern, Identify, Protect, Detect, Respond, Recover)とそのカテゴリ・サブカテゴリを定義した一次文書です。

統治(Govern, GV)

CSF2.0で新設され、中心に据えられた機能です。組織のサイバーセキュリティに関するリスク管理の戦略・方針・役割・責任を定め、それが機能しているかを監督する、いわば「経営と現場をつなぐ土台」にあたります。具体的には、組織の事業環境やリスク許容度の明確化、役割と責任の割り当て、ポリシーの整備、そしてサプライチェーンのリスク管理などが含まれます。

統治が中心に置かれた意味は大きいです。これまでセキュリティは「現場の技術的な取り組み」と見なされがちでしたが、CSF2.0は「誰が責任を持ち、どの方針に基づいて、どのリスクをどこまで受け入れるか」という経営の意思決定こそが土台だと明示しました。識別から復旧までの5機能は、この統治の方針の上で初めて一貫したものになります。

識別(Identify, ID)

リスク棚卸しの実質的な出発点がここです。守るべき資産(情報、システム、データ、人、サプライヤー)を把握し、それらに対するリスクを理解する機能です。「自分たちが何を持っているか分からなければ、何を守るかも決められない」という当たり前の原則を、体系として組み込んだものと言えます。

実務でつまずきやすいのが、この識別を軽視して防御の話に飛んでしまうことです。資産の一覧も、どのデータが事業にとって致命的かの整理もないまま、製品を入れる議論を始めてしまう。すると、本当に守るべきものに手が回らず、優先順位を欠いた投資になります。なお、CSF自体は6機能の並び順を実施順序として規定しているわけではありませんが、棚卸しの実務では資産とリスクの識別を早い段階で固めておくのが現実的です。

防御(Protect, PR)

識別した資産を守るための対策を講じる機能です。アクセス制御(誰が何にアクセスできるか)、利用者の教育、データの保護、構成管理、保守などが含まれます。多くの組織が「セキュリティ対策」と聞いて真っ先に思い浮かべるのがこの領域です。MFAの導入や最小権限の徹底は、防御の代表的な成果です。

ここで誤解しやすいのは、「防御を固めれば侵害は起きない」という発想です。現実には、どれだけ防御しても侵入を完全には防げません。だからこそ、防御だけでなく検知・対応・復旧まで含めて初めて全体になる、というのがCSFの設計思想です。

検知(Detect, DE)

侵害や異常が起きたことに、できるだけ早く気づくための機能です。ログの監視、不審な挙動の検出、検知プロセスの整備などが含まれます。攻撃は「防げなかった」だけでは終わりません。気づくのが遅れれば、被害は静かに拡大します。侵入から発覚までの期間が長いほど、情報の窃取や横方向の移動が進み、被害は深刻になります。

検知は、防御と対応をつなぐ要です。ログを取っていても、それを定期的に見て異常に気づく運用がなければ、検知の成果は得られていないことになります。

対応(Respond, RS)

検知した事案に対して、被害を最小化するために動く機能です。インシデント対応の計画、関係者への連絡、分析、被害の封じ込めなどが含まれます。ここで効いてくるのが「事前の備え」です。インシデントが起きてから連絡体制や判断基準を考え始めると、初動が遅れ、混乱します。誰がどう判断し、誰に連絡するかを平時に決めておくことが、対応の成果を左右します。

復旧(Recover, RC)

事案によって損なわれた機能やサービスを、計画的に元に戻す機能です。復旧計画の整備、復旧の実行、関係者とのコミュニケーションなどが含まれます。ランサムウェアのように事業停止を狙う攻撃が増えるなか、「どれだけ早く、どこまで元に戻せるか」は事業継続そのものに直結します。バックアップを取っているだけでは不十分で、それを使って実際に復旧できるかを検証しておくことが、復旧の成果です。

最初は「防御の製品を何を入れるか」という話ばかりしていました。CSFの6機能で並べてみて愕然としたのは、検知と対応と復旧がほぼ空欄だったことです。お金をかけて入口は固めていたのに、入られた後にどう気づいて、どう戻すかを誰も決めていなかった。物差しに当てて初めて、自分たちの偏りが見えました。

ある中堅企業のセキュリティ責任者の声

早見表: 6つの機能と棚卸しで確認すること

棚卸しの際に、各機能で「自組織はどこまでできているか」を問う観点を整理しました。これは網羅的なものではなく、現在地を言葉にするための入り口です。

機能略号狙い棚卸しで確認する代表的な観点
統治GVリスク管理の方針と責任の土台責任者は決まっているか、リスク許容度や方針は明文化されているか
識別ID守るべき資産とリスクの把握資産・データの一覧はあるか、重要度の優先順位はついているか
防御PR資産を守る対策アクセス制御・MFA・教育・データ保護は整っているか
検知DE異常・侵害への気づきログを取得し、定期的に確認・監視する運用があるか
対応RS被害の最小化と初動インシデント対応計画と連絡体制は平時に決まっているか
復旧RC機能の計画的な回復バックアップから実際に復旧できるか検証しているか

この表で大切なのは、6機能をバランスよく見ることです。多くの組織は防御に偏り、統治・検知・対応・復旧が手薄になりがちです。棚卸しの価値は、この偏りを可視化し、次に投資すべき領域を経営の言葉で語れるようにする点にあります。

棚卸しの進め方。現状プロファイルを描く

ここからは、実際にCSFを使って棚卸しを進める手順です。完璧を目指さず、まず一周することを優先します。

  1. 1

    範囲と責任者を決める(統治)

    棚卸しの対象範囲(全社か、特定の事業・システムか)と、誰が責任を持って進めるかを最初に決めます。これ自体が統治機能の実践です。経営層が関与し、リスク許容度の方針が共有されていることが土台になります。

  2. 2

    資産とリスクを洗い出す(識別)

    守るべき情報・システム・データ・サプライヤーを一覧化し、事業にとっての重要度で優先順位をつけます。ここを飛ばすと、以降の評価が机上の空論になります。

  3. 3

    6機能ごとに現状を評価する

    各機能・カテゴリについて「できている/部分的/できていない」を、できれば成熟度の段階で記録します。二択ではなく段階で見ることで、次の一手が具体的になります。判断に迷う項目は「要確認」として残し、後で裏取りします。

  4. 4

    目標プロファイルとのギャップを出す

    自組織のリスクに見合った目標の姿を描き、現状との差を洗い出します。すべてを最高水準にする必要はなく、事業リスクの高い領域に的を絞ります。

  5. 5

    優先順位をつけて計画化する

    ギャップのうち、被害の大きさと発生のしやすさから優先度を決め、対策の計画に落とします。費用対効果と業務影響を見て、現実的な順序を組みます。

  6. 6

    定期的に見直す

    棚卸しは一度で終わりではありません。事業や脅威の変化に合わせて定期的に更新し、現在地を測り直します。

注意

棚卸しの最初の一周で「完璧な評価」を目指すと、いつまでも終わりません。最初は粗くてよいので一周し、現在地の全体像をつかむことを優先してください。精度は二周目以降で上げていけます。評価が止まることが、最大のリスクです。

国内のガイドラインとどうつなぐか

CSFは国際的な物差しですが、国内には経済産業省とIPAが策定する「サイバーセキュリティ経営ガイドライン」があり、経営者が認識すべき項目や指示すべき重要項目が日本の文脈で整理されています。このガイドライン(現行Ver3.0)はNISTCSFなどの項目との対応関係が示されており(重要10項目とCSF Ver1.1との対応づけ)、CSFと国内ガイドラインは対立するものではなく、補完し合う関係にあります。

実務上は、経営層への説明やリスクの自己評価には国内のガイドラインや可視化ツールを使い、技術的な成果の網羅性を確認するためにCSFのCoreを参照する、という併用が現実的です。IPAはガイドラインに対応した可視化ツール(成熟度をレーダーチャートで表すExcel形式の自己評価ツール)も公開しており、社内での現在地共有の入り口として使えます。

IPA「サイバーセキュリティ経営可視化ツール」。サイバーセキュリティ経営ガイドラインVer3.0に対応し、重要項目の実施状況を5段階の成熟度で可視化する自己評価ツールです。CSFの棚卸しと併用すると、経営層への説明がしやすくなります。

CSFの大きな価値の一つは、こうした異なる文書や立場の人々をつなぐ「共通言語」になることです。技術者は6機能のサブカテゴリで具体的な対策を語り、経営層は機能単位の成熟度で投資判断を語る。同じ地図の上で会話ができるからこそ、現場と経営の溝が埋まります。

よくある質問

NIST CSFは認証を取得するものですか?
いいえ。CSFはISMS(ISO/IEC 27001)のような第三者認証の制度ではなく、目指すべき成果を整理した枠組みです。認証を取るためのものではなく、自組織のリスクを棚卸しし、現在地を測り、改善の計画を立てるための物差しとして使います。
CSF 2.0で何が一番変わりましたか?
最大の変更は、機能が5つから6つになり、新たに『統治(Govern)』が中心に加わったことです。これにより、誰が責任を持ち、どの方針でリスクを管理するかという経営の意思決定が土台として明確に位置づけられました。また、重要インフラに限らずあらゆる規模・業種の組織が使えることが明確化されました。
小さな組織でもCSFは使えますか?
使えます。CSFは成果の体系であり、すべてのサブカテゴリを満たす必要はありません。自組織の事業リスクに見合った範囲を選び、現在地を測ることが本質です。NISTは小規模組織向けのクイックスタートガイドも公開しており、無理のない範囲から始められます。
棚卸しはどれくらいの頻度でやるべきですか?
明確な決まりはありませんが、年に一度などの定期的な見直しに加え、大きな事業変化(新システム導入、組織再編、重大インシデント発生後)のタイミングで更新するのが現実的です。一度作って終わりにせず、現在地を測り直し続けることに意味があります。
防御の対策は揃っているのに、なぜ棚卸しが必要なのですか?
防御が揃っていても、検知・対応・復旧が手薄なら、侵入された後に気づけず、戻せない状態になりかねません。CSFの6機能で並べると、こうした偏りが可視化されます。棚卸しは、個々の対策の有無ではなく、全体としてのバランスと優先順位を確かめるために必要です。

まとめ

NIST CSFでリスクを棚卸しするチェックリスト

  • 棚卸しの範囲と責任者を決め、経営層の関与とリスク方針を確認したか(統治)
  • 守るべき資産とデータを一覧化し、重要度で優先順位をつけたか(識別)
  • 6機能(統治・識別・防御・検知・対応・復旧)ごとに現状を段階で評価したか
  • 防御に偏らず、検知・対応・復旧まで含めてバランスを点検したか
  • 目標とのギャップを洗い出し、被害の大きさと発生しやすさで優先順位をつけたか
  • 国内ガイドラインや可視化ツールと併用し、経営層に説明できる形に整理したか
  • 棚卸しを一度で終わらせず、定期的に見直す運用にしたか

NISTCSFは、特別な製品や認証ではなく、自組織のセキュリティの現在地を共通の言葉で語るための物差しです。2024年のCSF2.0で中心に据えられた統治を含む6つの機能に自組織を当てはめてみると、これまで見えなかった偏りや抜けが浮かび上がります。多くの組織は防御に投資が偏り、検知・対応・復旧が手薄になりがちですが、その偏りこそが棚卸しで最初に見つかる価値です。

完璧な評価を目指して立ち止まるより、まず粗くても一周し、自分たちの現在地を言葉にすることが出発点になります。そして、その言葉を経営と現場が共有できることが、CSFという物差しの本当の効用です。国内のガイドラインや可視化ツールと併用しながら、自組織のリスクを定期的に測り直す習慣を、ここから始めてみてください。

出典・参考

この記事をシェア

関連する記事

ガバナンス・コンプライアンス

社内セキュリティポリシーの作り方。基本方針・対策基準・実施手順の三層で実効性をつくる

形だけで終わらない社内セキュリティポリシーを、基本方針・対策基準・実施手順の三層構造で設計する方法を解説。三層の役割分担、策定の進め方、現場で守られる仕組みづくりと運用・見直しまでを経営と実務の両視点で整理します。