セキュリティ評価プラットフォーム「Assured」、NIST CSF2.0の解説レポートを公開
〜10年ぶりの大幅改定。ガバナンスとサプライチェーンリスク管理強化が焦点〜
Visionalグループの株式会社アシュアード(所在地:東京都渋谷区/代表取締役社長:大森 厚志)が運営する、セキュリティ評価プラットフォーム「Assured(アシュアード)」(https://assured.jp/ 以下、Assured)は、2024年2月26日に発表されたNIST CSF 2.0の解説レポートを本日公開しました。
2024年2月26日、NIST(米国標準技術研究所)よりサイバーセキュリティフレームワークバージョン2.0(以下、CSF2.0)が発表されました。CSFは、米国の重要インフラのサイバーセキュリティ対策を目的として2014年に初版(CSF1.0)が発表され、2018年にCFS1.1への改定が行われました。今回は初版発行以降で初の大幅改定です。
クラウドサービスの安全性を可視化し、安心・安全なクラウド活用およびDX推進を支援するAssuredは、今後のクラウド活用において押さえておくべきCSF2.0の重要なポイントについて解説します。
<解説レポート 目次>
●CSF2.0の変更点
‐ 対象とする組織の拡大
‐ 補助リソースの追加
‐ サイバーセキュリティリスク管理と組織全体でのリスク管理(ERM)との統合
‐ サプライチェーンリスクへの取組強化
●SaaS利用企業にとってのCSF2.0
<一部抜粋>
重要な変更点:サプライチェーンリスクへの取組強化
重要な変更点の一つとして、ガバナンス機能のカテゴリーにサイバーセキュリティサプライチェーンリスク管理(GV.SC)が追加されたことが挙げられます。NISTはサイバーサプライチェーンリスク管理(C-SCRM)を促進するためにCSF2.0の利用が可能としており、コアへの追加だけではなく、その補助リソースとしてC-SCRMのクイックスタートガイドも提供しています。C-SCRMはCFS1.1においても強化されましたが、CSF2.0においてカテゴリーの追加のみならず補助リソースをあわせてリリースしていることから、C-SCRMが重要かつ複雑なリスク管理領域であると見られていることがうかがえます。
クイックスタートガイドでは次の2点をC-SCRMの取組として提示しています。
-
C-SCRMのケイパビリティ(組織としての能力)を確立し運用する
-
CSFを利用し、サプライヤーの要件と定義し、伝達する
1.については関連するGV.SCの項目とともにケイパビリティの確立・運用にむけたチェックリストが提供されています。GV.SCの実装例も合わせることで、C-SCRMのケイパビリティの確立に向けた方向性が見えてくる可能性があります。また、2.ではCSF2.0のカテゴリー、サブカテゴリーに関連付けられたサプライヤーへの要請事項例が提示されています。いずれも、今後のC-SCRMにおける実務上の指針となり得るものと考えられます。
SaaS利用企業にとってのCSF2.0
現在、SaaS利用はビジネス上欠かせない一方、そのリスク管理が十分にできている企業は多いとは言えません。CSF2.0のなかでも特にCSF2.0 GV.SCは、SaaS利用におけるリスク管理として参照すべき内容です。SaaS利用時は、次のサブカテゴリーを念頭におき、利用開始のリスク評価とその後の定期的なリスク評価といった取組を通して、適切なリスク管理を実践することが求められます。
|
GV.SC-04 |
サプライヤーに対して重要性に応じた優先順位付けを行う |
|
GV.SC-06 |
サプライヤー、サードパーティとの取引を行う場合、事前にリスク低減のための計画立案やデューデリジェンスを行う |
|
GV.SC-07 |
サプライヤー、サードパーティからもたらされるリスクについて理解し、優先順位付け、調査、対応、モニタリングを行う |
|
GV.SC-08 |
インシデント対応計画には関係するサプライヤーやサードパーティを含める |
|
GV.SC-09 |
サプライチェーンセキュリティの活動をサイバーセキュリティ管理やERMに統合し、その結果について製品やサービスのライフサイクルを通してモニタリングを行う |
(Assured筆者仮訳)
なお、Assuredではセキュリティ評価項目を定期的に見直しています。今後CSF2.0の内容も反映させる予定です。
「NIST CSF2.0」解説セミナーを開催
Assuredでは、Assuredのセキュリティ評価者によるNIST CSF2.0に関する解説セミナーを開催します。
-
日程:2024年3月14日(木)11:00 ~ 12:00
※終了時間は、内容により前後する可能性がございます。参加料:無料
視聴方法:Zoomでのオンライン配信
申込みURL:https://assured.jp/seminar/20240314
アジェンダ
-
1. 昨今のセキュリティの潮流
-
2. NIST CSF (Cyber Security Framework)の概要
-
3. CSF1.x から 2.0での変更点
-
4. CSFをどのように業務に活かすか
-
5. 質疑応答
-
【セキュリティ評価プラットフォーム「Assured(アシュアード)」について】
Assuredは、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームです。専門知識を有するセキュリティ評価チームが、主要なガイドラインやフレームワークに基づき、クラウドサービスのセキュリティ対策状況を調査し、その評価結果をデータベースに集約することで、効率的かつ高精度なセキュリティ評価を実現します。また、クラウドサービス事業者は、Assuredによるセキュリティ評価情報を用いて自社サービスの安全性を示すことができ、利用企業・事業者双方を繋ぐ役割として、企業の安全なクラウド活用、そして社会全体のDX推進を支えます。
X(旧Twitter):https://twitter.com/assuredjp
【Visionalについて】
「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション(DX)を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人的資本データプラットフォームの構築を目指す。また、M&A、物流Tech、サイバーセキュリティの領域においても、新規事業を次々に立ち上げている。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
