このテーマを取り上げる理由
NIST(米国国立標準技術研究所)は2024年2月26日、Cybersecurity Framework(CSF)2.0を正式公開しました。初版公開から10年、最大の変更点は「Govern(統治)」機能の新設です。従来のIdentify・Protect・Detect・Respond・Recoverの5機能体系に経営レイヤーを明示的に組み込んだことで、CSFはリスク管理の技術文書から経営戦略文書へと性格を変えました。国内ではISO1/IEC 27001(ISMS)を軸に運用している企業が多く、「CSF 2.0とISMSをどう整合させるか」という問いが実務現場で浮上しています。
海外で何が起きているか
Govern機能の設計思想
CSF 2.0でGovern機能2に割り当てられたサブカテゴリは6分野です。組織文脈(GV.OC)、リスク管理戦略(GV.RM)、役割・責任・権限(GV.RR)、ポリシー・プロセス・手順(GV.PO)、監督(GV.OV)、サイバーセキュリティサプライチェーンリスク管理(GV.SC)の6つが体系化されました。注目点はGV.OV「監督」です。CISOからの報告を取締役会や上位経営層が定期的に受領し、リスク許容度の設定に経営層が明示的に関与することを要求しています。
従来のCSF 1.1はガバナンス要素をIdentify機能内に分散配置していました。CSF 2.0ではGovern機能が残り5機能すべてに横断するものとして設計されており、NISTはこれを「フレームワーク全体の軸」と位置づけています。
Implementation Tier(導入段階)の活用
CSF 2.0にはImplementation Tier3 1〜4(Partial / Risk Informed / Repeatable / Adaptive)の段階尺度が継続採用されています。各機能・各サブカテゴリに対し、組織の現在地をTierで評価し、目標Tierとのギャップを是正計画化する運用が前提です。CISOが経営層に「Govern機能の現在地はTier 2で、来年度Tier 3を目指す」と数値で示せる共通言語として機能します。
適用範囲の拡大と他フレームワークとの連携
CSF 1.0・1.1は「重要インフラ向け」を前提としていましたが、CSF 2.0では「あらゆる規模・業種・成熟度の組織」に適用可能なフレームワークとして再定義されました。NISTは同時に、NIST AI RMF4・プライバシーフレームワーク・SP 800-53との相互参照マッピングを公開し、複数フレームワークを横断して活用できる体制を整えています。
EU・英国の動向との連動
EUの NIS2 指令(2022 年 12 月発効、加盟国法制化期限は 2024 年 10 月 17 日)はサイバーセキュリティの経営責任を明確化しており、Govern 機能の設計方針とほぼ平行しています。なお CSF 自体は法的義務ではありませんが、米国連邦調達・FedRAMP・FTC エンフォースメント・EO 14144 等のルートで事実上の準拠基準として機能するため、米国子会社・調達先を通じた間接適用の確認が必要です。ただし期限を超過してドイツ・フランス等の多数加盟国で国内法整備が継続中で、2026 年 5 月時点では各国の施行状況の個別確認が必要です。英国のNCSC(国家サイバーセキュリティセンター)はCSF 2.0をベースにしたガイダンスの改訂作業を進めており、CSF 2.0が事実上のグローバルスタンダードとして浸透しつつある状況です。
日本企業への含意
ISMS(ISO 27001:2022)との重複・補完関係
ISMS認証取得済みの国内企業にとって、Govern機能の多くはすでに対応済みです。ISO 27001本体の箇条5(リーダーシップ)・箇条6(計画)・箇条9(パフォーマンス評価)が、Govern機能のGV.RM・GV.RR・GV.OVにそれぞれ対応しています。
ただし、CSF 2.0が新たに求める点が2つあります。第一に、リスク許容度の明文化と経営層承認の証跡です。ISMS審査でも経営レビューは必須項目ですが、「残存リスク受容の数値基準を文書化し取締役会が承認した記録」まで整備しているケースは多くありません。第二に、GV.SCのサプライチェーンリスク管理の粒度です。ISO 27001:2022のAnnex A.5.19〜A.5.22(2013年版のA.15相当、供給者関係に関する組織的管理策)は存在しますが、CSF 2.0のGV.SCはこれより踏み込んで、(a) 委託先の委託先(第3・第4次サプライヤー)までのリスク評価、(b) ソフトウェア・OSS構成要素まで含むサプライチェーン管理(SBOM5: Software Bill of Materialsを含む)、(c) NIST SP 800-161r1で示される製品・コンポーネントレベルの管理、まで要求しています。SolarWindsやXZライブラリ汚染事例はいずれもソフトウェアサプライチェーン側の問題であり、人的・契約的サプライチェーン管理だけでは現代の脅威に対応しきれない構造的課題です。
経済産業省・IPAの参照動向
経済産業省のサイバーセキュリティ経営ガイドライン(Ver 3.0、2023年3月公開)はCSF 1.1をベースに設計されました。CSF 2.0への対応版改訂についてIPAは追跡しており、改訂が行われれば国内の「経営者が遵守すべき事項」も更新される可能性があります。CSF 2.0適用を先取りしておくことは、国内規制対応の先行投資にもなります。
業種別影響
- 金融(銀行・証券・保険): 金融庁との「対話」では既にリスク許容度の取締役会承認を求める傾向にあります。GV.OVとGV.RMは現行の内部監査・リスク管理と整合させやすく、ISMSとの統合管理体制がある企業ならギャップは限定的です。3業種のなかで対応コストは最も低い水準といえます。
- 製造(サプライチェーン型): GV.SCが最大の課題です。Tier-1調達先のみ管理していたメーカーは、Tier-2以下のリスク評価体制とSBOMベースのソフトウェア構成管理を新設する必要があります。既存の取引先審査プロセスにサイバー評価項目を追加するだけで済む場合もありますが、海外拠点・現地調達先を多数抱える大手では専用ツール導入の検討が現実的です。OT(工場制御系)環境を持つ場合はIEC 624436(産業用オートメーション・制御システムのサイバーセキュリティ規格)との整合が推奨されており、NIST SP 800-82r3(ICS向けセキュリティガイド)との併用が実務上の出発点になります。
- 医療・ヘルスケア: FDA は FD&C Act 524B 条で医療機器メーカーにサイバーセキュリティ計画の提出を義務付け、2023 年 10 月 1 日以降の新規プリマーケット申請を対象として執行しており、既市販機器への遡及義務化は行わない方針です。日本の医療機器メーカーが FDA 認証を取得・更新する際に適用されます。2023年9月公開のガイダンスでNISTフレームワークを参照可能な標準の一例として列挙しました。CSF 2.0が直接義務化されているわけではありませんが、2024年以降に改訂される各社の内部ポリシー・調達基準で2.0版が採用されていく見通しです。外資系医療機器メーカーとの取引を通じ、日本の医療機関にも間接的に対応要求が広がるシナリオが想定されます。電子カルテ・医療機器のサプライヤー管理体制とSBOM対応の見直しが論点になり得ます。
一枚要約
NIST CSF 2.07は2024年2月に正式公開され、新設のGovern機能が経営層のサイバーセキュリティ関与を標準化しました。国内のISMS認証企業はサプライチェーンリスク管理(GV.SC、特にSBOM・Tier-2以下の管理)と「リスク許容度の経営層承認証跡」(GV.OV)の2点でギャップが生じやすいといえます。Implementation Tier 1〜4の段階尺度を使って自社の現在地を数値化し、CSF 2.0と現行ISMSのギャップ分析を実施することで、経済産業省ガイドライン改訂前の先行対応につながります。
今日着手できる3アクション
- Reference ToolでGV.OVとGV.SCの対応表を1枚作る: NIST CSF 2.0公式ページからReference Tool(Excel形式)をダウンロードし、Govern機能のGV.OVとGV.SCの2サブカテゴリに絞って、現行ISMS文書(経営レビュー議事録・供給者台帳・SBOMリスト)に対応文書が存在するかをYes/No表として1枚作成します。この1枚を次回CISO報告の添付資料とし、ギャップが明らかになった項目から是正計画を起こします。
- リスク許容度の文書化状況を確認する: 現行のISMS経営レビュー議事録に「残存リスク受容の定量基準」と「取締役会または経営会議による承認記録」が含まれているか確認します。なければ次回経営レビューの議題に追加します。Implementation Tierの自己評価(GV.OVが現状Tier 1〜4のどこか)も併せて記録します。
- Tier-2以下のサプライヤーリストと利用OSSの棚卸しを開始する: 重要ITサービス・クラウドの委託先が再委託している先(Tier-2サプライヤー)の一覧と、自社プロダクト・社内システムで使用しているOSSライブラリ(SBOM相当)の存在を確認します。存在しなければ主要委託先に「再委託先情報提供依頼」を送る文面を当日中に作成し、OSS の棚卸しは
npm ls/pip freeze等の依存関係リスト(推移的依存・PURL・ライセンス情報を含まない)ではなく、Syft / cdxgen / Trivy 等の SBOM 生成ツールで SPDX または CycloneDX 形式で出力するのが本来の手順です。可視化フェーズで pip freeze を使う場合は SBOM の代替ではなく初期把握に位置付けます。
AI×セキュリティの観点
CSF 2.0のGovern機能は、NISTが2023年に公開したAI RMF(AIリスク管理フレームワーク)と公式の相互参照マッピングが提供されています。生成AIを業務導入する企業では、AIシステム固有のリスク(データ汚染・プロンプトインジェクション・モデル出力の不確実性)をGV.RMのリスク管理戦略に組み込む必要があります。加えて、AIモデル自体のサプライチェーンリスクもGV.SCの対象です。事前学習済みモデルのバックドア混入、ファインチューニング用データセットの汚染、Hugging Face等モデルハブを経由したコード実行リスクが2024〜2026年に複数報告されており、外部から調達するモデルの重みのプロバナンス(出所証跡)と学習データの信頼性検証を、ソフトウェアSBOMと同列の管理対象として扱うことが望まれます。AI RMF の GOVERN 機能の関連サブカテゴリ(サプライチェーンリスク統合は GOVERN 1.7 や 6.x 系で扱われる)と CSF 2.0 GV.SC の接続点として実装するのが現実的です(具体的サブカテゴリ番号は AI RMF 1.0 公式 PDF で確認のうえ採用してください)。CISOが「AIリスクをサイバーリスクの管理プロセスに含める」と明言した証跡を残すことが、両フレームワークで求められるガバナンス上の要点です。
編集後記
CSF 2.0で最も重要な変化は「Governがフレームワークの外枠ではなく軸になった」点です。ISMS認証の形式的維持を超えて、経営層が「どこまでのリスクを受け入れるか」を文書で示す時代になったと感じます。この議論が日本企業の取締役会に届くまで、まだ時間がかかりそうです。
用語ミニ解説
- ISMS(ISO/IEC 27001:2022):情報セキュリティマネジメントシステムの国際規格2022年版。本体の箇条5〜10でリーダーシップ・計画・運用・パフォーマンス評価・改善のPDCAを要求し、Annex A(参考管理策)はA.5〜A.8の4カテゴリに再編された。 ↩
- Govern機能:CSF 2.0で新設された機能で、組織文脈(GV.OC)、リスク管理戦略(GV.RM)、役割・責任・権限(GV.RR)、ポリシー・プロセス・手順(GV.PO)、監督(GV.OV)、サプライチェーンリスク管理(GV.SC)の6サブカテゴリで構成される。 ↩
- Implementation Tier:CSF 2.0が定義する組織のサイバーセキュリティリスク管理プロセスの成熟度評価尺度。Tier 1 (Partial) / Tier 2 (Risk Informed) / Tier 3 (Repeatable) / Tier 4 (Adaptive) の4段階。 ↩
- NIST AI RMF:AI Risk Management Framework。NISTが2023年に公開したAI固有のリスク管理フレームワーク。CSF 2.0と公式の相互参照マッピングが提供されている。 ↩
- SBOM(Software Bill of Materials):ソフトウェアの構成部品一覧。OSSライブラリ・依存パッケージのバージョン情報を含み、脆弱性追跡とサプライチェーンリスク管理の基礎となる。NIST SP 800-161r1やCISAが必須要素として位置づけている。 ↩
- IEC 62443:産業用オートメーション・制御システム(IACS)のサイバーセキュリティに関する国際規格。OT環境のセキュリティ設計・運用要件をレベル分けで規定する。 ↩
- NIST CSF 2.0:米国国立標準技術研究所が2024年2月に公開したCybersecurity Frameworkの第2版。重要インフラ向けから「あらゆる組織向け」へ適用範囲を拡大し、Govern機能を新設した。 ↩
コメント