NIST CSF(CyberSecurity-Framework)とは

NIST CSF(CyberSecurity-Framework)とは、NIST(米国国立標準技術研究所)が2014年2月に公開したサイバーセキュリティ対策に関するフレームワークのこと。

正式名称は「重要インフラのサイバーセキュリティを改善するためのフレームワーク」で、2018年4月には改訂版として「バージョン1.1」が公開された。

NIST CSFは、サイバー攻撃対策に特化している点が特徴で、侵害を前提としたプライバシーリスク、サイバーリスク管理のアプローチをとっている。

「特定」「防御」「検知」「対応」「復旧」の5つの機能で構成され、どの機能がどの程度整備されているか、サイバーセキュリティ対策のベストプラクティスや対策状況を数値化するための評価基準などが、体系的に取りまとめられている。

これまで、国内企業におけるセキュリティ対策のポリシーや体制整備には、ISMS(情報セキュリティマネジメントシステム)のフレームワーク(ISO/IEC 27000シリーズ)が参照されることが一般的だった。ISMSがITシステムに限らず、物理世界のセキュリティを含めた幅広いリスクについて対象としているのに対し、CSFは、サイバーリスクに特化した実践的な内容となっており、海外企業を中心にNIST CSFを採用する企業が増えている。

特に、デジタル技術の進展や、クラウドやIoTの普及、利用シーンの拡大などによって、サプライチェーンにおけるサイバーリスクはますます高まっている。こうした状況に鑑み、国内でもNIST CSFに注目、採用する企業が増えてきている。

日本では、独立行政法人 情報処理推進機構(IPA)から翻訳版が公開されている。

セキュリティ用語辞典一覧ページへ

関連キーワード:

IoT

IPA

ISMS

NIST

クラウド

サイバーセキュリティ

サイバー攻撃

セキュリティ対策

フレームワーク

プライバシー

リスク

情報セキュリティマネジメントシステム

情報処理推進機構