先月、NIST(米国国立技術標準研究所)のサイバーセキュリティ・フレームワークの改訂版が発表された。いわゆる「NIST CSF 2.0」である。まずタイトルが、「重要インフラのサイバーセキュリティを改善するためのフレームワーク」から重要インフラの文字が消えて、全ての組織に対応するものになったことを示している。
内容として一番大きく変わったのが、これまで、
・特定 Identyfy
・防御 Protect
・検知 Detect
・対応 Respond
・復旧 Recover
の5要素を示していたのだが、これらをすべて包摂する形で第6の(最も重要な)要素ガバナンス(Govern)が入ったこと(*1)。
企業でサイバーセキュリティを担う、例えばCISOの悩みには、
・関連会社、海外子会社、仕入れ先などは見えにくい
・派遣社員含め従業員が使っているデバイスも見えないことがある
・対応、復旧にあたっても、その優先順位が分からない
などがある。これらは結局、企業経営としてのガバナンスが十分でないから起きることだ。今回NISTのフレームワークが、重要インフラ企業以外にも適用を広げたことと、ガバナンスの重要性を説いたことは、非常に意味がある。
ガバナンスを仮にITガバナンスに限ったとしても、担当するのはCIO。サイバーセキュリティ担当はCISO。そしてもうひとつ、企業の事業継続(BCM/BCP)はリスク管理担当に分散している。この三者が三位一体としてリスク管理が出来る企業は、サイバーリスクだけでなく多くの脅威に対しての耐性が強いといえる。そして、その三位一体を実現するのも、経営者のガバナンス力である。
*1:サイバーセキュリティフレームワーク2.0(CSF2.0)で何が変わったのか | NTTデータ先端技術株式会社 (intellilink.co.jp)
