NIST CSF 2.0で見直す委託終了時のサプライチェーン管理

このテーマを取り上げる理由

NIST Cybersecurity Framework 2.0（サイバーリスク管理の成果を整理する米国NISTの枠組み、以下 CSF 2.0）は、2024年2月26日に公開された大改訂です。既にGovern¹追加や全業種向けへの拡張は知られていますが、実務で見落とされやすいのが、委託先との関係終了時の管理です。

CSF 2.0のGV.SC²（サイバーサプライチェーンリスク管理）は、契約前の審査だけでなく、利用中の監視、インシデント対応、関係終了後の計画まで含みます。SaaS解約、開発委託の終了、生成AIサービスの乗り換えでは、ここが事故の温床になります。

何が変わったのか

CSF 1.1までは、Identify、Protect、Detect、Respond、Recoverの5 Functionsで構成されていました。CSF 2.0ではここにGovernが加わり、6 Functionsになりました。

NISTはCSF 2.0を、業種や規模を問わず利用できる高水準のサイバーセキュリティ成果の分類として説明しています。重要インフラだけの枠組みではなく、SaaS、製造、金融、医療、自治体向けベンダー、中堅企業にも使える「リスクを説明する共通語」です。なお、NIST CSF 2.0³は任意のフレームワークであり、それ自体が日本企業へ直接の法的義務や罰則を課すものではありません。契約、規制、監査基準に取り込まれた場合に、実務上の要求として効いてきます。

委託終了時が抜けやすい理由

委託先管理は、契約前のセキュリティチェックに偏りがちです。質問票、認証、脆弱性対応、監査権限までは見ても、解約時のデータ返却、ログ保全、アカウント削除、APIキー失効、再委託先のデータ削除までは詰め切れていないことがあります。

CSF 2.0のGV.SCは、この抜けを補う見方を与えます。特に関係終了時の計画を持つことは、クラウド移行、SaaS統合、M&A、委託先変更が多い企業ほど重要です。

確認すべき論点

• データ返却と削除: 顧客データ、ログ、学習・評価データ、バックアップがどの形式で返却・削除されるかを確認します。
• 権限と鍵の失効: 管理者アカウント、APIキー、OAuth連携、SAML設定、保守用VPNを終了日と連動して無効化します。
• 証跡の保全: インシデント調査や監査に必要なログを、契約終了後にどれだけ保持できるかを決めます。
• 再委託先の扱い: 委託先のサブプロセッサや再委託先にも削除・返却義務が届くかを確認します。
• 移行期間の責任分界: 旧委託先と新委託先が並行稼働する期間の監視、障害対応、脆弱性対応の責任者を明確にします。

サプライチェーン管理の強化

CSF 2.0では、Govern配下にGV.SCというサイバーサプライチェーンリスク管理のカテゴリが置かれています。ここには、サプライヤーの役割、重要度の優先順位付け、契約への要件組み込み、契約前のデューデリジェンス、関係終了時の計画などが含まれます。

日本企業にとっては、調達部門と情シス部門の分断を埋める材料になります。クラウド、SaaS、開発委託、保守委託、生成AIサービスを使う場合、契約前の評価だけでなく、利用中の監視と終了時のデータ返却・削除まで管理対象に入れる必要があります。

ProfilesとTiersの使い方

CSF 2.0では、Current Profile⁴とTarget Profile⁵を使って、現状と目標の差分を整理します。これは監査のためだけでなく、投資判断に使えます。たとえば「すべての管理策を強化する」のではなく、顧客影響が大きい業務だけTarget Profileを高める、といった説明ができます。

Tiersは成熟度の順位表ではありません。NISTの位置づけでは、リスク管理の厳格さを示す段階です。Tier 4を全社で目指すことが正しいとは限らず、コストとリスクのバランスで選ぶものです。この点を誤ると、実務に合わない過剰統制になります。

既存ISMSへの落とし込み

ISO 27001を運用している企業は、CSF 2.0を置き換えではなく、説明レイヤーとして使うとよいです。ISO 27001の管理策は「何を管理するか」を細かく示します。一方、CSF 2.0は「どの成果に効いているか」を経営向けに説明しやすくします。

たとえば、アクセス制御はProtect、ログ監視はDetect、インシデント報告はRespond、バックアップ復旧はRecoverに対応します。そこへGovernを加えることで、予算、役割、委託先、取締役会報告とのつながりを補えます。

一枚要約

• CSF 2.0は、Govern配下でサイバーサプライチェーンリスク管理を明確に扱います。
• 自社への影響は、契約前審査だけでなく、委託終了時のデータ、権限、ログ、再委託先管理に及びます。
• まず重要委託先を10件選び、終了時の返却・削除・失効・証跡保全を表に落とすのが実務的です。

今日着手できる3アクション

• NIST公式のCSF 2.0ページを開き、Govern配下のサプライチェーンカテゴリを確認します。公式ページは https://csrc.nist.gov/pubs/cswp/29/the-nist-cybersecurity-framework-csf-20/final です。
• 主要SaaSや委託先を10件選び、vendor, criticality, data return, account revoke, log retention, exit owner の6列で一覧化します。macOSなら printf "vendor,criticality,data return,account revoke,log retention,exit owner\n" > vendor-exit.csv から始められます。
• IdPやSaaS管理画面で退職・解約済み委託先アカウントを確認します。Microsoft Entra IDなら Identity > Users > All users、AWSなら aws iam list-users と aws iam list-access-keys --user-name USER で棚卸しします。

AI×セキュリティの観点

生成AIサービスやAIエージェントを業務導入する場合、委託終了時の論点はさらに重くなります。プロンプトログ、評価データ、RAG用文書、外部ツール連携のトークンが残るためです。AI固有リスクはNIST AI RMFで補いながら、CSF 2.0では事業リスクとして誰が承認し、どのサプライヤーを監督し、終了時に何を消すかを決めるのが現実的です。

用語ミニ解説

1. Govern: CSF 2.0で追加されたFunctionで、方針、役割、監督、サプライチェーン管理を扱います。 ↩
2. GV.SC: Govern配下のサイバーサプライチェーンリスク管理カテゴリです。 ↩
3. NIST CSF 2.0: 米国NISTが公開する任意のサイバーリスク管理フレームワークで、2024年2月26日に2.0へ改訂されました。 ↩
4. Current Profile: 現在達成している、または達成しようとしているCSF Coreの成果を示すものです。 ↩
5. Target Profile: リスク戦略や事業要件を踏まえ、目指すべきCSF Coreの成果を示すものです。 ↩

参考リンク

• NIST CSWP 29: The NIST Cybersecurity Framework (CSF) 2.0
• NIST Cybersecurity Framework
• NIST AI Risk Management Framework