梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

三位一体のリスクマネジメント

 先月、NIST(米国国立技術標準研究所)のサイバーセキュリティ・フレームワークの改訂版が発表された。いわゆる「NIST CSF 2.0」である。まずタイトルが、「重要インフラのサイバーセキュリティを改善するためのフレームワーク」から重要インフラの文字が消えて、全ての組織に対応するものになったことを示している。

 

 内容として一番大きく変わったのが、これまで、

 

・特定 Identyfy

・防御 Protect

・検知 Detect

・対応 Respond

・復旧 Recover

 

 の5要素を示していたのだが、これらをすべて包摂する形で第6の(最も重要な)要素ガバナンス(Govern)が入ったこと(*1)。

 

    

 

 企業でサイバーセキュリティを担う、例えばCISOの悩みには、

 

・関連会社、海外子会社、仕入れ先などは見えにくい

派遣社員含め従業員が使っているデバイスも見えないことがある

・対応、復旧にあたっても、その優先順位が分からない

 

 などがある。これらは結局、企業経営としてのガバナンスが十分でないから起きることだ。今回NISTのフレームワークが、重要インフラ企業以外にも適用を広げたことと、ガバナンスの重要性を説いたことは、非常に意味がある。

 

 ガバナンスを仮にITガバナンスに限ったとしても、担当するのはCIO。サイバーセキュリティ担当はCISO。そしてもうひとつ、企業の事業継続(BCM/BCP)はリスク管理担当に分散している。この三者が三位一体としてリスク管理が出来る企業は、サイバーリスクだけでなく多くの脅威に対しての耐性が強いといえる。そして、その三位一体を実現するのも、経営者のガバナンス力である。

 

*1:サイバーセキュリティフレームワーク2.0(CSF2.0)で何が変わったのか | NTTデータ先端技術株式会社 (intellilink.co.jp)