NISTはサイバーセキュリティフレームワークの最新版をリリースしました。この更新により、経営陣や取締役会の監督が強化され、全ての組織に対してセキュリティの向上が求められるようになりました。また、既存の評価やギャップの特定、是正活動の見直し、サプライチェーンのリスク管理が重要な要素として加わりました。
フレームワークの操作化に際しては、NISTのリソースを活用し、新たに追加された「Govern」機能について経営陣と議論することが推奨されます。サプライチェーンのセキュリティにも注意が必要であり、ベンダーがCSF v2をサポートしているかの確認が求められます。これらの変更と対策は、組織のサイバーセキュリティアプローチをビジネス戦略に合わせるために重要です。
【ニュース解説】
アメリカの国立標準技術研究所(NIST)が、サイバーセキュリティフレームワークの最新版、バージョン2.0を発表しました。このフレームワークは、組織がサイバーセキュリティの成熟度と姿勢を向上させるための包括的なガイドラインを提供することを目的としています。特に、経営層や取締役会のサイバーセキュリティに対する監督を強化し、サプライチェーンのリスク管理にも焦点を当てています。
このフレームワークの更新は、サイバーセキュリティの取り組みをより体系的に行う必要がある組織にとって重要な意味を持ちます。特に、新たに「Govern」機能が追加されたことで、組織のサイバーセキュリティ戦略がビジネス戦略と一致するよう、経営層の関与がより重要になります。また、サプライチェーンのセキュリティに関しても、第三者のパートナーやサプライヤーのリスク管理が強調されています。
このフレームワークの適用にあたっては、以下の4つのステップが推奨されます。
1. **NISTのリソースを活用する**
NISTは、フレームワークを特定の環境や要件に適用するためのリソースを提供しています。これには、組織やコミュニティのプロファイル作成の基盤となるリソースや、特定の業界セグメントや機能に対するクイックスタートガイドが含まれます。
2. **「Govern」機能の影響を経営陣と議論する**
新たに追加された「Govern」機能は、組織のサイバーセキュリティアプローチがビジネス戦略に合致することを目指しています。この機能の導入により、経営層や取締役会がサイバーセキュリティリスク管理プロセスにおいて果たす役割が強調されます。
3. **サプライチェーンのセキュリティを考慮する**
サプライチェーンのリスク管理がCSF 2.0でより重要視されています。組織は、サプライヤーのセキュリティ姿勢を評価し、潜在的な弱点を特定し、サプライヤーのリスクが自組織に転嫁されないようにする必要があります。
4. **ベンダーがCSF v2をサポートしているか確認する**
サイバーセキュリティフレームワークの最新版に対応しているかどうか、ベンダーの製品やサービスを再評価することが重要です。特に、ガバナンス、リスク、コンプライアンス(GRC)ツールなどは、新たに強調された「Govern」機能の観点から見直しが必要になるかもしれません。
このフレームワークの更新は、サイバーセキュリティの取り組みを現代の脅威環境に適応させ、組織全体でのセキュリティ意識の向上を促すことを目的としています。組織は、これらの変更を機に、自身のサイバーセキュリティ戦略を見直し、より強固なセキュリティ体制の構築に努める必要があります。
from NIST Cybersecurity Framework 2.0: 4 Steps To Get Started.
