NISTがCSF2.0を正式リリース

アメリカ国立標準技術研究所(NIST)が、組織のガバナンスとサプライチェーン問題に焦点を当てたサイバーセキュリティフレームワークのバージョン2.0を発表。

概要

2024年2月27日、アメリカの国立標準技術研究所(NIST)は、サイバーセキュリティフレームワーク(CSF)の拡張されたバージョン2.0をリリースしました。
CSFは、特に重要インフラの保護に焦点を当ててきましたが、今回のアップデートでは、病院や発電所などの重要インフラから、あらゆるセクターの組織に対して、
その適用範囲を広げています。

NISTディレクターのローリー・E・ロカシオ氏によると、CSF 2.0は以前のバージョンを基に構築されており、単なる一つのドキュメントではなく、
組織のサイバーセキュリティニーズが変わるにつれてカスタマイズ可能なリソースの組み合わせを提供します。
最も大きな変更点は、新たに「ガバーン(Govern)」機能が追加されたことです。

これにより、CSFの構造は「識別(Identify)」「保護(Protect)」「検出(Detect)」「対応(Respond)」「回復(Recover)」の
既存の5つの機能に「ガバーン」が加わり、6つの機能を持つフレームワークに進化しました。
ガバーン機能は、サイバーセキュリティリスク管理を企業の広範なリスク管理プログラムに組み込むことを目的としています。
サプライチェーンリスク管理も、CSF 1.1からの成果を踏まえ、拡張され、ガバーン機能の下にグループ化されています。
サプライチェーンの複雑さと相互接続性を鑑みて、組織にとってのサイバーセキュリティリスク管理は重要であるとされています。

この新バージョンには、従来の標準、ガイドライン、フレームワークを更新し、組織がフレームワークの106のサブカテゴリを
実装する方法についての洞察を提供する情報資料が含まれています。
また、CSFの潜在的な採用の難しさに対処するために、サプライチェーンセキュリティリスク管理の開始方法など、
いくつかのトピックについてのクイックスタートガイドが組み込まれています。

CSF 2.0は、ERMやICTリスク管理プログラムに関連するNISTの他の広く使用されているリソースとの統合も改善されています。
これらのリソースは、NIST CSFのウェブサイトで公開されており、フレームワークの実装を支援するためにさらに多くのリソースが構築され続けているとNISTは述べています。

まとめ

アメリカ国立標準技術研究所は、サイバーセキュリティフレームワーク(CSF)の2.0版をリリースしました。
この新しいバージョンは、重要インフラだけでなく、あらゆるセクターの組織に適用されるよう範囲を拡大しています。
特にガバナンスとサプライチェーンの問題に焦点を当て、新たな「ガバーン」機能を加えることで、フレームワークの6つの主要機能を構成しました。
CSF 2.0は、独自のテクニカルおよびリソース構成を持つ各組織が、サイバーセキュリティリスクを効果的に軽減するための包括的なガイドラインとリソーススイートを提供するものです。

関連リンク:https://www.nist.gov/blogs/cybersecurity-insights/travel-update-nist-csf-20-herealong-many-helpful-resources