NIST CSFを導入する

NIST CSF（ニストシーエスエフ）で、 フレームワークコアに続く ２番目の要素は、 フレームワークプロファイルです。 フレームワークプロファイルは、 さまざまなリスクと事業計画を 照らし合わせながら、 業績とサイバーセキュリティ活動を 整合させるために使います。 最後となる３番目の要素は、 サイバーセキュリティの成熟度を示す、 フレームワーク導入ティアです。 このうち、 最下層の成熟度レベルに当たるのが、 部分的な導入のティアです。 これに該当する組織の サイバーセキュリティ活動は 場当たり的かつ受け身で、 組織として目指す事業成果や リスクマネジメント目標に 基づいていません。 社外との連携もほとんどありません。 次の成熟度レベルは、 リスク情報を踏まえているティアです。 リスクマネジメントの 正式な規定はありますが、組織全体に 浸透しているとは限りません。 サイバーセキュリティのリスク情報は、 内部で非公式に共有されていても、 外部との共有には至っていません。 次のレベルは、繰り返し可能なティアです。 正式なリスクマネジメント規定があって 順守が義務づけられ、 リスクの変化に対応する手続きも 定められています。 組織内部だけでなく、 外部との連携や情報共有も行われています。 成熟度レベルで最上位にあたるのは、 適応力があるティアです。 前のレベルを踏まえながら、 組織の強み、脅威、 脆弱性が変化するに従って、 サイバーセキュリティの活動を 継続的に改良していく意識と 柔軟性を持ち合わせています。 NIST CSF（ニストシーエスエフ）の 導入にあたっては、２種類のプロファイルを 作成することが望ましいとされています。 １つは、その組織の性質や状況に照らして 必要と判断された サイバーセキュリティ活動について、 それぞれどの程度できているかを整理した 現状のプロファイルです。 もう１つは、 それぞれのサイバーセキュリティ活動で、 組織として抱えるリスクを どのレベルまで抑えたいかという、 目標のプロファイルです。 その上で、現状のプロファイルを 目標のプロファイルに近づけていくための 取り組みと優先順位を明らかにした セキュリティ計画を策定します。 サイバーセキュリティの取り組みを これから始めようとする組織は、 NIST CSF（ニストシーエスエフ）を参考に 次のような手順を踏むことが効果的です。 まず、組織にとって 重要な事業成果を洗い出し、 それらに対する脅威や脆弱性を 明らかにします。 次に、そのことを 現状のプロファイルとしてまとめ、 リスクアセスメントを実施した上で、 目標のプロファイルを作成します。 ２つのプロファイルの差異を見つけて 分析し、優先順位を決定したら、 その差を埋めるための行動計画を策定し、 これを実行に移していきます。