NIST CSF 2.0のドラフト版を読みました。
何の本?
NISTが出している、組織が取り組むべきサイバーセキュリティ対策をまとめたフレームワークです。
よくISMSと比較されるような位置づけのドキュメントです。
最初は2014年に、次に2018年にv1.1が出て、今回5年ぶりにv2.0のドラフトが出ています。現在は11月4日までご意見募集の段階です。
構成は?
本紙(PDF)とリファレンスツール(Excel)で構成されています。
本紙はCSFの使い方や考え方の記載が中心で、具体的な「やること」は全てExcel側にあります。
このExcelの一覧を「フレームワーク・コア」と呼び、機能・カテゴリ・サブカテゴリで構成されます。
また、各サブカテゴリに対して実施例と参考情報が記載されています。
(が、今回開示されているExcelは参考情報は空欄でした)
本書の日本語版
ネット上に見当たらなかったので作りました。
例によって機械翻訳を多少手直しした程度なので細かい部分まで仕上げていませんが、大きな支障はないと思います。
リファレンスツール docs.google.com
主な変更点
大きな改訂のポイントは以下です。話題になりがちなのは4点目ですが他にも色々と変わっています。
- 名称をFramework for Improving Critical Infrastructure Cybersecurity → Cybersecurity Frameworkに変更
今までもCSFと呼ばれてたがやっと正式にそうなり、重要インフラに限らず全ての組織で使えるようになる - v1.1以降に出た様々なフレームワークやガイドラインと紐づける
- Excelの各サブカテゴリに対する「実施例」の記載
- 新しい機能(Function)である「GOVERN(GV)」を追加
- GOVERN(GV)内にサプライチェーンリスクに重点をおいたカテゴリを追加
フレームワーク・コアの新旧比較
主要な変更点は上述の通りですが、より具体的に知るためにExcelのフレームワーク・コアをv1.1と一つずつ突き合わせてみました。
まず、総数としては以下のように変わります。
- v1.1 5機能・23カテゴリ・108サブカテゴリ
- v2.0 6機能・22カテゴリ・106サブカテゴリ
v2.0の内訳は以下です。
- GOVERN(GV):6カテゴリ・31サブカテゴリ
- IDENTIFY(ID):3カテゴリ・20サブカテゴリ
- PROTECT (PR):5カテゴリ・23サブカテゴリ
- DETECT (DE):2カテゴリ・11サブカテゴリ
- RESPOND(RS):4カテゴリ・13サブカテゴリ
- RECOVER (RC):2カテゴリ・8サブカテゴリ
このうち、GV機能は全てが新規追加ではなく、他の機能から移行したサブカテゴリもあります。
純粋に新規で追加されたものは28サブカテゴリです。
また、こうした追加がありつつも、全体の数はむしろ減っています。
このカラクリは、v1.1で細かく分けて書いていたサブカテゴリをv2.0では抽象化した上でまとめたためであり、総数を抑えようと工夫した様子が読み取れます。
抽象化したことで意図が伝わりづらくなった部分を補完するために「実施例」の列が加わっています。
一通り読んでみて、今回の改定は驚くような新要素の追加は特になく、(確かに一部は追加されているものの)全体的に「よりしっくり来るように再編成した」という印象が強いです。
私はいつも「要点抽出」としてガイドライン類の記載内容を抜粋・凝縮してブログに書いていますが、今回は既にCSFそのものが要点抽出されたものだと感じましたので、下手に手を加えずに変更点を分析するに留めました。
つまり、全部読むべき良くまとまったフレームワークだと思います。