今年２月に1.1→2.0に更新されたNIST CSFの変更内容について整理したいと思います。

1. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework 2.0
の変更点整理しよう
(Lv.3くまー)
2024/06/08(土)
You&I

2. わんくま同盟 名古屋勉強会 #51
ジコ、ショウカイ。
• H/N： You&I(読み：ユーアンドアイ)
• SNS： @you_and_i
• 出身： 生まれも育ちも名古屋市
• 年齢： 40代
• 本職： 商学部出身の職業プログラマ
• 言語： Go, C++, C#他
•所属： プロ生勉強会 名古屋支部
名古屋アジャイル勉強会
わんくま同盟 名古屋勉強会
2

3. わんくま同盟 名古屋勉強会 #51
AGENDA
1. セキュリティ標準とは
2. NIST セキュリティ標準の概要
3. NIST Cybersecurity Framework 2.0での変
更点
3

4. わんくま同盟 名古屋勉強会 #51
1. セキュリティ標準とは
NIST Cybersecurity Framework 2.0の変更点整理しよう
4

5. わんくま同盟 名古屋勉強会 #51
セキュリティ標準とは
• セキュリティ標準がターゲットとするのは、何
らかのプロダクト・サービスを提供する組織で
す。
• 個人レベルで対応するには大がかり過ぎます
が、セキュリティ対策が進んでいないとか、セ
キュリティ人材が不足していると言われる昨
今において、知識として身につけておくのは
有用でしょう。
5

6. わんくま同盟 名古屋勉強会 #51
セキュリティ標準とは
• セキュリティ標準は、基本的にリスクマネジメ
ント手法の一つです。
→脆弱性等による損失をリスクと捉え、それを防ぐ
為の現状把握および対策を検討する
• またこれらでは、実施すべきセキュリティ対策
の指針は示されるものの、対策のチェックリス
トや具体的なセキュリティ対策方法について
は提供されません。
→適用する組織に合わせて、対策を検討し、運用
する必要がある
6

7. わんくま同盟 名古屋勉強会 #51
セキュリティ標準とは
• サイバー攻撃手法は日進月歩で進化し続け
るので、セキュリティ対策もそれに対処する必
要があります。これだけやっておけば良いと
いう銀の弾丸は、セキュリティ標準には組み
込まれません。
• リスクマネジメントによる対策としては、組織
が管理すべき資産のリストアップ、組織のある
べき姿と現状とのギャップ分析や、繰り返し改
善を行う見直し・改善のサイクル構築が主流
です。
7

8. わんくま同盟 名古屋勉強会 #51
セキュリティ標準とは
• これらのセキュリティ標準は、基本的にガイダ
ンスの立ち位置であり、強制するものではなく
自発的なセキュリティ対策を支援するもので
す。
• セキュリティ標準(Standard)ではなく、セキュ
リティ認証(Certification)の場合は、満たすべ
き要求事項(Requirements)があります。
8

9. わんくま同盟 名古屋勉強会 #51
セキュリティ標準とは
• 主なセキュリティ標準・認証
– 国際機関が策定
• ISO, ISO/IEC, JIS(ISOのローカライズ)
– 例) ISO 31000(JISQ31000), ISO/IEC 27000シリーズ, ISO/IEC
15408 CC認証
→CC認証は複合機の調達要件で利用されている
– 政府機関が策定
• 例) NIST(National Institute of Standards and Technology:米国
立技術標準研究所), NISC(内閣サイバーセキュリティセンター)
– 業界団体が策定
• 自動車, 航空機, 船舶, クレジットカード決済
– 例) EDSA認証(組み込みデバイス向け), PCI DSS,
プライバシーマーク？
» https://internet.watch.impress.co.jp/www/article/2000/0711/pm
ark.htm
9

10. わんくま同盟 名古屋勉強会 #51
セキュリティ標準とは
• 皆さんがお使いの各種クラウドサービスは、セ
キュリティ標準にも対応しています。
– Amazon AWS
• https://aws.amazon.com/jp/compliance/nist/
– Microsoft Azure
• https://learn.microsoft.com/ja-
jp/azure/governance/policy/samples/
– Google GCP
• https://cloud.google.com/compliance/
• クラウドサービスを利用する側だけでなく、ホスト
する側準拠が求められるケースがあるので、クラ
ウドサービスベンダーは対応を行っています。
10

11. わんくま同盟 名古屋勉強会 #51
2. NIST セキュリティ標準の概要
NIST Cybersecurity Framework 2.0の変更点整理しよう
11

12. わんくま同盟 名古屋勉強会 #51
NIST セキュリティ標準の概要
• NISTが公開しているセキュリティ標準
– https://www.nist.gov/itl/publications-0
• FIPS(Federal Information Processing Standards)
– FIPS 140-2, FIPS 186-4
• SP(Special Publications)
– SP 800 シリーズ(米国政府機関向けガイダンス)
» https://pages.nist.gov/NIST-Tech-Pubs/SP800.html
» SP 800-53, SP 800-171, SP 800-207
– SP 1800 シリーズ (Practice Guides)
» https://pages.nist.gov/NIST-Tech-Pubs/SP1800.html
• IR (Interagency/Internal Report)
– https://csrc.nist.gov/publications/ir
• CSF(Cybersecurity Framework)
– https://www.nist.gov/cyberframework
12

13. わんくま同盟 名古屋勉強会 #51
NIST セキュリティ標準の概要
• NISTセキュリティ標準の採用例
– SP 800-171 Protecting Controlled Unclassified
Information in Nonfederal Systems and
Organizations
• https://csrc.nist.gov/pubs/sp/800/171/r3/final
– NISC 統一基準群 政府機関等の対策基準策定のためのガイ
ドライン（令和５年度版）の外部委託(業務委託)
» https://www.nisc.go.jp/policy/group/general/kijun.html
– 防衛装備庁 防衛産業サイバーセキュリティ基準
» https://www.mod.go.jp/atla/cybersecurity.html
13

14. わんくま同盟 名古屋勉強会 #51
NIST セキュリティ標準の概要
• NISTが公開するセキュリティ標準は、基本的
に米国の政府機関向けであるが、米国の重
要インフラ等にも適用されるものです。
• 但し、事実上それが米国以外の国や重要イン
フラ業界等の標準または、それらの土台に
なっています。

15. わんくま同盟 名古屋勉強会 #51
3. NIST CYBERSECURITY
FRAMEWORK 2.0での変更点
NIST Cybersecurity Framework 2.0の変更点整理しよう
15

16. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• NIST Cybersecurity Framework
– v1.0：2014年2月
– v1.1：2018年4月
• v1.0からの変更点
– フレームワークコアのIDカテゴリに「ID.SC」が追加
– フレームワークコアのサブカテゴリに10要素が追加
– v2.0：2024年2月
• v1.1からの変更点
– 重要インフラ向けと称していたものが、一般向け化
– フレームワークコアのIDカテゴリに「ID.GV」が追加
» カテゴリの分類が見直されて再配置が行われ、元々から
ガバナンス項目は存在していた。
16

17. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• NIST CSFは、以下の3要素で構成されます
– フレームワークコア
(Framework Core)
– フレームワークプロファイル
(Framework Profile)
– フレームワークインプレメンテーションティア
(Framework Implementation Tier)
17

18. わんくま同盟 名古屋勉強会 #51
サイバーセキュリティリス
クが組織によってどのよう
に管理され、
どのようにリスク管理プラ
クティスが重要な特性を
示すかを説明します
実装シナリオで業界
標準とベストプラクティ
スをFramework
Coreに合わせる
ビジネスニーズを考慮
しながら優先順位付
けと計測をサポート
サイバーセキュリティの成果と参考資料
組織全体でサイバーリスクの伝達を可能にする
NIST Cybersecurity Framework概要
18
Cyber
Security
Framework
Core
Tier
Profile

19. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• フレームワークコア(Framework Core)
19
機能 カテゴリー/サブカテゴリ－
GV
(統制)
GV.OC x5 (組織的文脈)
GV.RM x7 (リスク管理戦略)
GV.RR x4 (役割/責任/権限)
GV.PO x2 (ポリシー)
GV.OV x3 (監督)
GV.SC x10 (サプライチェーンリスク管理)
ID
(特定)
ID.AM x8 (資産管理)
ID.RA x10 (リスクアセスメント)
ID.IM x4 (改善)
PR
(防御)
PR.AA x6 (ID管理及びアクセス制御)
PR.AT x2 (意識向上及びトレーニング)
PR.DS x4 (データセキュリティ)
PR.PS x6 (プラットフォームセキュリ
ティ)
PR.IR x4 (技術インフラのレジリエンス)
機能 カテゴリー/サブカテゴリ－
DE
(検知)
DE.AE x5 (異常とイベント)
DE.CM x5 (継続的なモニタリング)
RS
(対応)
RS.CO x2 (インシデント伝達)
RS.AN x4 (インシデント分析)
RS.MI x2 (インシデント低減)
RS.MA x5 (インシデント管理)
RC
(復旧)
RC.RP x6 (復旧計画の作成)
RC.CO x2 (伝達)
特定
特定 防御
防御 検知
検知 対応
対応 復旧
復旧
統制
統制

20. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• フレームワークコア(Framework Core)
– サブカテゴリーの詳細部分では、別なセキュリティ標準を参照し
ています・・・。
• NIST SP 800-53 Rev.5
• NIST SP 800-218
• NIST SP 800-221A
• CRI Profile v2.0
– https://cyberriskinstitute.org/the-profile/
• CIS Controls v8.0(CIS Critical Security Control)
– https://www.cisecurity.org/controls
– 以下はCSF 1.1で参照されていましたが、直接的な参照はなく
なりました
• ISO/IEC 27001:2013
• ISA 62443-2-1:2009
• ISA 62443-3-3:2013
• ISACA COBIT 5
20
CSF 2.0から新たに参照

21. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• フレームワークインプレメンテーションティア
(Framework Implementation Tier)
– ティアは、CSFを適用した組織の適用・順応状況を表
します
• ティアには1～4の段階がある。
– Tier1：部分的である （Partial）
– Tier2：リスク情報を活用している （Risk Informed）
– Tier3：繰り返し適用可能である （Repeatable）
– Tier4：適応している（Adaptive）
• 上記の4段階は以下の状況を表している。
– リスク管理対策がどの程度、厳密で高度なものか
– リスク管理がビジネスニーズにどの程度基づいているか
– 組織の全体的なリスク管理対策にどの程度組み入れられている
か
21

22. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• フレームワークインプレメンテーションティア
(Framework Implementation Tier)
– ティアの定義の変更点
• CSF 2.0
– 各ティアについて以下の例示
» サイバーセキュリティ ガバナンス
» サイバーセキュリティ マネジメント
• CSF 1.1
– 各ティアについて以下の定義
» リスクマネジメント プロセス
» 統合されたリスクマネジメント プログラム
» 外部からの参加
22

23. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• フレームワークプロファイル(Framework Profile)
– プロファイルは、サイバーセキュリティ対策の現在の状態
と目指す目標の状態を記述するのに使用できる。
• 「現在のプロファイル」は、現時点で達成されているサイバーセ
キュリティ成果を示す。
• 「目標のプロファイル」は、サイバーセキュリティリスク管理上の目
指す目標を達成するのに必要な成果を示す。
– プロファイルは ビジネス／ミッション要件を踏まえ企業内
および企業間でのリスクについての伝達を支援する。
– CSFでは、実施に関して柔軟性を持たせることを意図して、
プロファイルのひな形は規定していない。
– プロファイルの比較は、サイバーセキュリティリスク管理上
の目標を果たすために対処が必要なギャップを浮き彫り
にします。
23

24. わんくま同盟 名古屋勉強会 #51
NIST Cybersecurity Framework概要
• フレームワークプロファイル(Framework Profile)
– 組織プロファイルは、テンプレートが用意されていま
す
• 適用手順
1. 組織プロファイルの範囲を決める
2. 組織プロファイルの準備に必要な情報を集める
3. 組織プロファイルを作成する
4. 現在のプロファイルと目標のプロファイルの間のギャップを分
析し、行動計画を作成する
5. 行動計画を実施し、組織プロファイルを更新する
– コミュニティプロファイルは、サンプルが用意されてい
ます
24

25. わんくま同盟 名古屋勉強会 #51
まとめ
• NISTが策定するSP800シリーズのセキュリ
ティ標準は、米国政府機関や米国内の重要イ
ンフラ向けであるが、事実上米国外や業界の
デフォルトとなっている。
• CSFは、セキュリティ対応する上で必要な分
類や考え方を提供するが、適用する組織がそ
の適用先や何をどこまで対応するかは、それ
ぞれで検討し、運用する必要がある。
– CSFに限らないが、めっちゃ大変・・・
25

26. わんくま同盟 名古屋勉強会 #51
参考情報
• NIST：Cybersecurity Framework
– https://www.nist.gov/cyberframework
• IPA：セキュリティ関連NIST文書について(1.1日本語訳)
– https://www.ipa.go.jp/security/reports/oversea/nist/about.html
• デジタル庁：DS-220 政府情報システムにおけるサイバーセキュリティフレームワーク導入に関する技術レポート
– https://www.digital.go.jp/resources/standard_guidelines/
• PwC Japan：NISTサイバーセキュリティフレームワークバージョン2移行のポイントと日本語訳
– https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/nist-csf.html
• NTTデータ先端技術(株)：NISTサイバーセキュリティフレームワーク2.0（CSF2.0）で何が変わったのか
– https://www.intellilink.co.jp/column/security/2024/031100.aspx
• NRIセキュア ブログ：NIST サイバーセキュリティフレームワーク 2.0を解説
– https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework-2.0
• 技術書典16：ちくわぱん エルフと学ぶCSF 2.0
– https://techbookfest.org/product/cncE9fi7r907wB2JuyKiK2
• 2LoD.sec：【雑記】セキュリティガイドライン類 約300時間 読み漁ってみた
– https://nikinusu.hatenablog.com/entry/2023/10/28/222629
すべて無料で読める情報なのでご活用ください
26

27. わんくま同盟 名古屋勉強会 #51
？？？
ご安全に！