セキュリティ対策の優先順位が分からず、何から手をつければいいか迷っている情シス担当者は少なくありません。脅威の種類は多く、予算もリソースも限られているなかで体系的に動くのは難しいものです。
そんなときに頼りになるのが、米国国立標準技術研究所(NIST)が策定した「サイバーセキュリティフレームワーク(CSF)」です。
この記事では、NIST CSFの概要・バージョンの違い・6つのコア機能・実装ティアとプロファイルの考え方、そして中小企業の情シス担当者が明日から使える実践ステップまでを、現場の目線で解説します。
NISTサイバーセキュリティフレームワーク(CSF)とは?
NIST CSFは、2014年に米国国立標準技術研究所(National Institute of Standards and Technology)が策定したセキュリティフレームワークです。
「フレームワーク」とは、何かを義務づける法律や規格ではなく、「自組織のセキュリティ対策を体系的に考えるための共通の枠組み」のことです。ISO 27001やPマークのような認証制度とは異なり、CSFは「自分たちの現状を把握し、目指すべき姿に向けてどう動くか」を整理するための道具です。
もともとは米国の重要インフラ(電力・金融・医療など)向けに作られましたが、その汎用性の高さから世界中の企業・政府機関に採用されています。日本でも独立行政法人情報処理推進機構(IPA)がCSFの活用を推奨しており、中小企業のセキュリティ対策にも十分活用できます。
CSFの3つの構成要素
CSFは以下の3要素で構成されています。
・コア(Core): セキュリティ対策を「機能」「カテゴリ」「サブカテゴリ」の3階層で整理した対策の骨格
・実装ティア(Implementation Tiers): 自組織のセキュリティ管理の成熟度を4段階で評価する指標
・プロファイル(Profiles): 「現在の状態」と「目指すべき状態」を対比させ、ギャップを見える化するツール
この3要素を組み合わせることで、「どこにいるか→どこに向かうか→どうやって進むか」という一連の流れを組織全体で共有できるようになります。
CSF 1.1とCSF 2.0の違い
CSFには複数のバージョンがあります。現在地を理解するために、バージョンの変遷を押さえておきましょう。
| バージョン | 公開年 | 主な変更点 |
|---|---|---|
| CSF 1.0 | 2014年 | 初版。5つのコア機能(識別・防御・検知・対応・復旧) |
| CSF 1.1 | 2018年 | サプライチェーンリスク管理の強化、自己評価ガイダンス追加 |
| CSF 2.0 | 2024年 | 「統治(Govern)」機能の追加。適用範囲を全組織に拡大 |
現時点(2026年)ではCSF 2.0が最新版です。1.1から2.0への最大の変更点は「Govern(統治)」機能の追加です。これにより、セキュリティ戦略・ポリシー・リスク管理の優先度決定といった「経営レベルの意思決定」がフレームワークに明示的に組み込まれました。
この変更の背景には、「技術的な対策は整備されていても、経営層の関与が薄くてセキュリティ投資が後回しにされている」という実態があります。CSF 2.0はその問題に正面から向き合った改訂と言えます。
CSFのコア機能を詳しく理解する
CSF 2.0のコアは6つの機能(Function)で構成されています。それぞれを現場目線で解説します。
1. Govern(統治)
最もシンプルに言えば、「セキュリティをどう経営の中に組み込むか」を定義する機能です。
CSF 1.1まではセキュリティ対策の「実行」に重点が置かれていましたが、2.0で追加されたGovernは「セキュリティ活動を誰が、どのような権限で、どんな目標に向けて行うか」を明確にすることを求めます。
具体的には以下のような取り組みが含まれます。
・組織のセキュリティ目標と方針の策定
・セキュリティリスクと経営目標の整合
・役割・責任・権限の明確化
・サプライチェーンリスク管理の方針整備
・セキュリティ活動の継続的な改善体制の確立
中小企業での実践ポイント: 「セキュリティは情シスの仕事」という認識を変え、経営者が方針を文書化することがまず一歩です。「情シスが1人しかいないから仕方ない」という状況でも、経営者の承認を得た簡単な方針書を作るだけでGovernの第一歩になります。A4用紙1枚程度の「情報セキュリティ基本方針」から始めましょう。
2. Identify(特定)
「自組織が何を守るべきか」を把握するための機能です。
守るべき対象が分からなければ、適切な対策は打てません。Identifyでは以下のような活動を行います。
・資産管理: ハードウェア・ソフトウェア・データ・ネットワーク・人材などの洗い出し
・リスクアセスメント: 特定した資産に対する脅威と脆弱性の評価
・ビジネス環境: 組織のミッションや事業継続の優先度の把握
・ガバナンス: 法的・規制要件や組織方針の確認
・サプライチェーンリスク: 取引先・委託先のリスクも含めた管理
中小企業での実践ポイント: まずはExcelで構いません。社内にあるPC・サーバー・クラウドサービスの一覧(資産台帳)を作ることから始めましょう。「何があるか分からない」状態では、シャドーITや退職者アカウントの見落としが起きます。資産台帳があるだけで、次のProtect・Detectの対策が格段に立てやすくなります。
3. Protect(防御)
特定した資産を守るための「予防的な対策」を実施する機能です。
・アクセス制御: 必要な人だけが必要なシステムにアクセスできる仕組み(多要素認証・最小権限の原則)
・意識向上とトレーニング: 従業員へのセキュリティ教育
・データセキュリティ: 暗号化・バックアップ・データ廃棄ルール
・情報保護プロセス: セキュリティポリシーや設定変更管理
・保守: ソフトウェアのパッチ適用・脆弱性管理
・保護技術: ファイアウォール・EDR(エンドポイント検知と対応)・フィルタリングツール
中小企業での実践ポイント: Protectは「すべてを一度にやろう」とすると挫折します。まず「多要素認証(MFA)の導入」と「定期的なパッチ適用」の2点だけでも着手してください。この2点だけで、よくある侵害パターンの相当数を防げます。特にMFAは、パスワード漏洩があっても不正ログインを防ぐ非常に費用対効果の高い対策です。
4. Detect(検知)
セキュリティインシデントが発生したとき、「できるだけ早く気づく」ための機能です。
攻撃者が侵入してから発見されるまでの時間(滞留時間)は、世界的に見ても数週間から数ヶ月に及ぶケースが少なくありません。早期検知が被害を最小化する鍵です。
・異常とイベント: 不審な通信・ログイン試行の検知
・継続的なモニタリング: ネットワーク・システム・ユーザー活動の監視
・検知プロセス: アラートの評価手順と責任者の明確化
中小企業での実践ポイント: 高価なSIEM(セキュリティ情報イベント管理)を導入しなくても始められます。WindowsイベントログやLinuxのauditdログを定期的に確認するルールを作るだけでも、明らかな不審活動を発見できます。また、Microsoft 365やGoogle Workspaceには「不審なサインインアラート」機能が標準搭載されているので、まずそれを有効化しましょう。コストゼロで始められる検知体制です。
5. Respond(対応)
インシデントが検知されたとき、「どう動くか」を事前に定め、実行する機能です。
・対応計画: インシデント対応手順書(IRP)の整備と定期的な訓練
・コミュニケーション: 社内外への情報共有(経営者・顧客・当局への報告ルート)
・分析: インシデントの影響範囲・根本原因の調査
・低減: 被害拡大を止めるための封じ込め措置
・改善: 対応後のふりかえりと再発防止策の実施
中小企業での実践ポイント: 「インシデントが起きてから考える」では手遅れになります。A4用紙1枚でもよいので、「不審なメールを受け取ったら→誰に報告→何をする」という簡単なフローを用意しておくだけで、パニック状態での判断ミスを防げます。年に一度でも、実際にシミュレーション訓練を行うことで手順書の実効性を確認できます。
6. Recover(復旧)
インシデント後に「通常業務に戻るための計画と実行」を定義する機能です。
・復旧計画: BCP(事業継続計画)およびIT復旧手順の整備
・改善: 復旧プロセスのふりかえりと強化
・コミュニケーション: 復旧状況の関係者への周知
中小企業での実践ポイント: 復旧において最も重要なのはバックアップです。「3-2-1ルール(3つのコピー・2種類のメディア・1つはオフサイト保管)」を実践しているかどうかが、ランサムウェア被害からの回復可否を左右します。バックアップが存在するだけでは不十分で、「定期的に復元テストを行う」ことが不可欠です。バックアップがあっても復元できなければ意味がありません。
実装ティア:自社のセキュリティ成熟度を4段階で知る
CSFでは、組織のセキュリティ管理の成熟度を「実装ティア(Implementation Tiers)」として4段階で表します。
| ティア | 名称 | 特徴 |
|---|---|---|
| ティア1 | 部分的(Partial) | リスク管理が場当たり的。方針・プロセスがほぼない状態 |
| ティア2 | リスク情報あり(Risk Informed) | リスクの認識はあるが、組織全体への浸透・実践が断片的 |
| ティア3 | 繰り返し可能(Repeatable) | リスク管理が文書化され、組織全体で一貫して実施されている |
| ティア4 | 適応的(Adaptive) | 脅威の変化に応じてリアルタイムでプロセスを改善できる |
多くの中小企業はティア1~2に位置しています。重要なのは「ティア4を目指せ」ということではありません。「今どこにいるかを正確に把握し、現実的な範囲で一段階上を目指す」ことです。
ティア1からティア2への移行は、「方針書を1枚作る」「資産台帳を整備する」「インシデント対応手順を文書化する」といった取り組みで達成できます。大規模な投資は不要です。
CSFプロファイル:現状と目標のギャップを見える化する
プロファイルは「現在のプロファイル(Current Profile)」と「目標のプロファイル(Target Profile)」を作成し、その差分(ギャップ)を優先対策リストとして活用するツールです。
実際の手順は以下のとおりです。
1. 現在のプロファイルを作成する
6つの機能ごとに「自社が今実施できていること・できていないこと」をチェックします。CSFのサブカテゴリ(具体的な対策項目)を参考に、「実施済み」「部分実施」「未実施」に分類します。
2. 目標のプロファイルを作成する
「自社のリスク許容度・事業の重要度・リソース制約」を踏まえ、「今後12ヶ月で達成したいレベル」を設定します。「すべてを100点にする」のではなく、「事業継続に直結する領域を重点的に改善する」という視点で設定することが重要です。
3. ギャップを優先対策リストに変換する
現在と目標のギャップを一覧化し、ビジネスインパクトと実施コスト・難易度を考慮して優先順位をつけます。「重要かつ低コストで実施できるもの」を最初の着手項目とします。
完璧なプロファイルを目指す必要はありません。「この3項目を今期中に改善する」という小さな計画から始めることが、CSFを実際に機能させるコツです。
中小企業でCSFを実践する5ステップ
具体的にどう動けばよいか、情シス担当者が実践しやすい5ステップで整理します。
ステップ1:経営層のコミットメントを得る(Govern)
セキュリティ対策を現場だけの問題にしないことが第一歩です。「なぜセキュリティに投資するか」「事業継続に何が必要か」を経営者と合意し、文書化します。
経営者向けに「サイバー攻撃による被害額の試算」や「競合他社や取引先からのセキュリティ要件」を示すと、理解を得やすくなります。
ステップ2:資産台帳を作る(Identify)
すべての機器・サービス・データを一覧化します。クラウドサービス・個人所有のスマートフォン・退職者アカウントなども忘れずに。Excelで十分です。
台帳には「担当者」「重要度(高/中/低)」「外部公開の有無」を記載すると、後の優先順位付けに役立ちます。
ステップ3:高リスク領域から対策する(Protect)
資産台帳ができたら、「最も重要なシステム」「攻撃されたら事業継続できない箇所」を特定し、そこから優先的に対策を打ちます。多要素認証の導入・パッチ管理・バックアップが最初の3点セットです。
ステップ4:監視とアラートを整備する(Detect)
クラウドサービスの不審なサインインアラートを有効化し、定期的にログを確認するルールを作ります。全自動監視は不要です。「週1回、不審なログを目視確認する担当者を決める」だけでも大きな前進です。
ステップ5:対応・復旧の手順書を1枚作る(Respond / Recover)
「ランサムウェアに感染した場合」「メールアカウントが乗っ取られた場合」といった想定シナリオごとに、「誰が・何をする」を書いた1枚ものの手順書を用意します。定期的に内容を見直し、実際にシミュレーションしてみることが重要です。
Linuxサーバーの具体的なセキュリティ設定(ファイル権限・SELinux・auditdログ監視)については、姉妹サイトLinuxMaster.JPで詳しく解説しています。
CSFとISMS(ISO 27001)・Pマークとの関係
セキュリティの文脈でよく比較される認証制度との違いを整理します。
| 観点 | NIST CSF | ISMS(ISO 27001) | Pマーク |
|---|---|---|---|
| 性質 | 任意のフレームワーク | 認証取得可能な国際規格 | 認証取得可能な日本規格 |
| 目的 | セキュリティの体系化・可視化 | ISMS構築・運用の認証 | 個人情報保護の認証 |
| 対象 | 情報セキュリティ全般 | 情報セキュリティ全般 | 個人情報に限定 |
| コスト | 無料(公開資料) | 審査費用が必要 | 審査費用が必要 |
| 取引先への証明力 | 参考程度 | 高い(特に大企業との取引) | 高い(個人情報取り扱い) |
CSFはあくまで「内部の対策整理ツール」であり、取引先への証明には向きません。一方、ISMS・Pマークは「外部への証明」が主目的です。
多くの企業にとって現実的なアプローチは、「CSFで現状を把握・対策を整理→将来的にISMSやPマーク取得を検討」という段階的な進め方です。CSFのサブカテゴリはISO 27001の管理策とおおむね対応しているため、CSFで対策を整備しておくと、将来ISMS認証を取得する際の準備負担が軽減されます。
よくある誤解と注意点
【誤解1】CSFは大企業向けの難しいフレームワーク
CSFはすべての規模の組織を対象に設計されています。特にCSF 2.0では中小企業向けの「クイックスタートガイド」が公開されており、段階的な実装がしやすくなっています。「大企業のためのもの」という先入観を持たずに、まず概要だけでも読んでみる価値があります。
【誤解2】CSFを導入すれば安全になる
CSFはあくまで「何をすべきかを整理するための枠組み」です。フレームワーク自体が自動的に守ってくれるわけではなく、具体的な対策の実施があって初めて意味を持ちます。「CSFを使っている」ことより「CSFに基づいて何を実施したか」が重要です。
【誤解3】すべてのサブカテゴリを満たす必要がある
CSFには100以上のサブカテゴリがありますが、すべてを満たすことを目標にする必要はありません。自組織のリスクプロファイルと事業の優先度に応じて、重要な項目から取り組むことが現実的です。完璧を目指すより、「今より一歩前に進む」を積み重ねることのほうが価値があります。
【注意】法的要件との混同
CSFはリスクベースのフレームワークであり、特定の法律・規制への準拠を自動的に保証するものではありません。個人情報保護法への対応や業界固有の規制(医療・金融など)は、CSFとは別に確認が必要です。法規制に関する詳細は法律の専門家にご確認ください。
本記事のまとめ
| ポイント | 概要 |
|---|---|
| NIST CSFとは | NISTが策定したサイバーセキュリティフレームワーク。認証ではなく対策整理ツール |
| CSF 2.0の変更点 | 「Govern(統治)」機能が追加され、コア機能は6つに |
| コア機能 | Govern→Identify→Protect→Detect→Respond→Recover |
| 実装ティア | ティア1(部分的)~ティア4(適応的)で成熟度を評価 |
| 中小企業の第一歩 | 資産台帳の作成・多要素認証の導入・バックアップの3点セットから |
| ISMSとの関係 | CSFで整備した対策はISOへのステップアップに活用できる |
NIST CSFは、セキュリティの専門家でなくても「自社の現状を整理し、優先すべき対策を決める」ために使える実用的なツールです。完璧な実装を目指すのではなく、「現状を把握して一歩前に進む」ことを繰り返すことが、中小企業のセキュリティ向上には最も現実的な道筋です。
「セキュリティ基礎」の記事を読む
このテーマに関連する解説記事を一覧でまとめています。あわせてご覧ください。
