NIST サイバーセキュリティ・フレームワーク(CSF)2.0は、組織がサイバーセキュリティプログラムを開始または改善する際に利用できるフレームワークです。このフレームワークは、サイバーセキュリティリスクを管理し、削減するために具体的な成果を達成する手助けをします。それには、統治、識別、保護、検知、対応、回復の6つの機能が含まれており、それぞれの機能に対する詳細なガイダンスが提供されています。また、CSFコア、組織プロファイル、ティアの3つの主要コンポーネントから構成され、組織の現在及び目標のサイバーセキュリティ態勢を評価する枠組みとして機能します。このフレームワークとNISTの補足リソースを組み合わせることで、組織はリスクを理解、評価、優先順位付け、伝達するための包括的なアプローチを実施できます。
CSF 2.0 主要コンポーネント
- CSF コア – あらゆる組織のサイバーセキュリティ・リスク管理に役立つ、高レベルのサイバーセキュリティ成果の分類法
- CSF 組織プロファイル(Organizational Profiles) – CSF コアの成果の観点から、組織の現在のサイバーセキュリティ態勢および/または目標とするサイバーセキュリティ態勢を説明するための仕組み
- CSF ティア – CSF 組織プロファイルに適用して、組織のサイバーセキュリティリスクガバナンスと管理の実践の厳密性を評価することができる。
CSF 2.0と他の規格とのマッピングの表示と作成
Cross-Reference Comparison Report
- CSF v1.1: Framework for Improving Critical Infrastructure Cybersecurity
- Cybersecurity Framework v2.0: NIST Cybersecurity Framework
- NICE Components v1.0.0: Workforce Framework for Cybersecurity (NICE Framework) (NIST SP 800-181 Rev 1)
- SSDF: Secure Software Development Framework (SSDF): Recommendations for Mitigating the Risk of Software Vulnerabilities
- SP 800-221A: Information and Communications Technology (ICT) Risk Outcomes
- SP 800-53 Rev 4: Security and Privacy Controls for Federal Information Systems and Organizations
- SP 800-53 Rev 5.1.0: Security and Privacy Controls for Information Systems and Organizations
- SP 800-53 Rev 5.1.1: Security and Privacy Controls for Information Systems and Organizations
CSF 2.0 コアおよびマッピングされたコンテンツの閲覧、ダウンロード
CPRT は、参照データセットを管理するための一元化され、標準化され、モダナイゼーション・メカニズムを提供します(また、NIST の様々なサイバーセキュリティおよびプライバシーの標準、ガイドライン、フレームワークから参照データにアクセスするための一貫した形式を提供します)。
Cybersecurity and Privacy Reference Tool
実装例
参考文献で提供されるガイダンスに加えて、CSF 2.0 のサブカテゴリの成果を達成するのに役立つ、簡潔で 実務に即したステップの想定例を示します。
CSF2.0 リファレンス・ツール
人間および機械が読み取り可能なバージョンのコア (JSON および Excel) を提供します。また、主要な単語で検索してコアの一部を表示およびエクスポートすることもできます。
その他のリソース
組織が CSF を実践するのに役立ちます。
Community Profiles and Profile templates
NIST の CSF 2.0 リソース・リポジトリ一式
Navigating NIST’s CSF 2.0 Quick Start Guides
NIST の CSF 2.0 クイック・スタート・ガイド一覧
中小企業
サイバーセキュリティ計画が曖昧、あるいは全く持たない中小企業に対して、サイバーセキュリティ・リスク管理戦略を開始するための検討事項を提供する。
NIST Cybersecurity Framework 2.0: Small Business Quick-Start Guide
組織プロファイルの作成と使用
CSF 2.0 を実施するために、現行プロファイルおよび/またはターゲットプロファイルを作成し、使用するための考慮事項をあらゆる組織に提供する。
NIST Cybersecurity Framework 2.0: Quick-Start Guide for Creating and Using Organizational Profiles
CSFティアの使用
あらゆる組織で、CSF の階層を組織プロファイルに適用して、サイバーセキュリティリスクのガバナンスとマネジメント手法の厳密さを評価する方法を説明する。
NIST Cybersecurity Framework 2.0: Quick-Start Guide for Using the CSF Tiers
サイバーセキュリティ・サプライチェーン・リスク管理(C-SCRM)草案
すべての組織がC-SCRMプロセスを改善することにより、テクノロジー製品やサービスのスマートなアクワイアラとサプライヤーになることを支援する。
エンタープライズ・リスク・マネジメント(ERM)実務者向け草案
エンタープライズリスクマネジメントの実務者が、組織のサイバーセキュリティリスクマネジメントを改善するために、CSF 2.0 で提供される成果物をどのように活用できるかについて詳述する。
NIST Cybersecurity Framework 2.0: Enterprise Risk Management Quick-Start Guide
