🎓 レベル:標準 | 重要度:B(推奨) 📎 前提:リスク評価と多層防御 ⚠️ 枠組みは更新される(要最新確認)。本稿は NIST CSF 2.0(2024)に基づく。
要点(BLUF)
- 個別の対策をバラバラに入れても守りにはならない。組織として方針・役割・優先順位を決めて回すのがガバナンス。
- NIST CSF 2.0 は守りを Govern / Identify / Protect / Detect / Respond / Recover の6機能に整理した共通言語。
- 2.0 の最大の変化は Govern(統治) の追加。「誰が責任を持ち、何を優先するか」を中心に据えた。
概念:技術だけでは守れない
ここまでの章(CIA・脅威モデリング・多層防御・設計原則)は主に技術と設計の話でした。しかし現実の組織では「誰が決めるのか」「予算と人をどこに割くのか」「方針を誰が守らせるのか」が決まっていないと、良い対策も続きません。これを束ねるのがセキュリティガバナンスで、共通の地図としてフレームワークを使います。
代表的な枠組みには NIST CSF(米国標準技術研究所)、ISO/IEC 27001(マネジメントシステムの国際規格)、CIS Controls(具体的な統制リスト)などがあります。ここでは横断的な共通言語として広く使われる NIST CSF 2.0 を地図にします。
仕組み:NIST CSF 2.0 の6機能
CSF 2.0 は守りのライフサイクルを6つの機能に分けます。1.1 までは5機能でしたが、2.0 で Govern が中心に追加されました。
| 機能 | 問い | 主な活動 |
|---|---|---|
| Govern(統治) | 誰が責任を持ち何を優先するか | 方針・役割・リスク許容度・サプライチェーン管理 |
| Identify(特定) | 何を守るのか | 資産・データ・リスクの棚卸し |
| Protect(防御) | どう守るか | アクセス制御・暗号・教育・予防策 |
| Detect(検知) | 起きたら気づけるか | 監視・ログ・異常検知 |
| Respond(対応) | どう止めるか | インシデント対応・連絡・封じ込め |
| Recover(復旧) | どう戻すか | バックアップ・事業継続・改善 |
Identify〜Recover は本テキストの各章にほぼ対応します(防御=第2〜6章、検知/対応/復旧=第7章)。Govern はそれら全体を貫く位置づけで、他5機能の前提になります。
図解:Govern が他の5機能を束ねる
flowchart TD
G["Govern(統治)方針・役割・優先順位"]
G --> ID["Identify(特定)何を守るか"]
G --> PR["Protect(防御)どう守るか"]
G --> DE["Detect(検知)気づけるか"]
G --> RS["Respond(対応)止められるか"]
G --> RC["Recover(復旧)戻せるか"]
ID --> PR --> DE --> RS --> RC
RC -->|"教訓を方針へ反映"| G
復旧で得た教訓が統治に戻り、方針を更新するループになっている点が重要です。守りは作って終わりではなく、回し続けるものです。
防御側の使い方:枠組みを「自分の地図」に当てる
- 現状を6機能に当てる:自組織の対策がどの機能に偏っているかを可視化(多くは Protect 過多・Detect/Respond 不足)。
- 目標プロファイルを決める:リスク許容度(リスク評価と多層防御)に応じて「どこまでやるか」を Govern で定義。
- 差分を埋める計画にする:現状と目標のギャップを優先順位つきの施策に落とす。
- 役割を割り当てる:誰が責任者か(Govern)。技術タスクと責任者が結びつく。
- 定期的に見直す:脅威も組織も動く。プロファイルを更新する。
クラウドや IAM の実務的な統制は クラウドの責任共有とIAM に、運用の検知・対応は 防御運用とインシデント対応 目次 に具体化されます。
なぜ安全か:抜けと重複を共通言語でなくす
フレームワークの価値は「正解の対策集」ではなく、抜け・重複・優先順位のズレを見える化する共通言語であることです。6機能に並べれば「うちは Protect ばかりで Detect が薄い」「Govern が空白で誰も責任者でない」がすぐ分かります。バラバラのツール導入では気づけない構造的な穴を、地図が照らします。
仕組みの直観
CSF は健康診断の問診表に似ています。個々の検査値(個別対策)だけ見ても全体の健康は分かりません。生活習慣の方針(Govern)、現状把握(Identify)、予防(Protect)、早期発見(Detect)、治療(Respond)、リハビリ(Recover)という共通の枠で並べると、どこが手薄かが一目で分かります。
⚠️ よくある誤解・設定ミス
- 「フレームワーク導入=安全」と思う:枠組みは地図であって守り本体ではない。中身を埋めて初めて効く。
- Govern を飛ばす:責任者と優先順位が無いと、対策が場当たりになり続かない。2.0 の主眼はここ。
- Protect に偏る:予防だけ厚く検知・対応が無いと、破られたとき気づけない(リスク評価と多層防御)。
- 古い版で固定する:枠組みも脅威も更新される。版とリスク許容度は定期的に見直す(要最新確認)。
対応 lab
方針・統治の回のため専用 lab はありません。Protect 機能の具体例(暗号・署名・認証)は第2〜3章の security-study/labs/ 各デモで体験できます。
関連
- 章全体の地図 → セキュリティの基礎 目次
- 守る対象の言語 → 情報セキュリティとは(CIAとAAA)
- 検知・対応・復旧の実務 → インシデント対応のプロセス