サイバーセキュリティの体系的なガイドラインとして知られる、サイバーセキュリティフレームワーク「CSF」が、2024年、約10年ぶりにフルアップデートされました。今回の改訂では、単なるITセキュリティの枠組みにとどまらず、企業全体のガバナンス体制構築を視野に入れた設計へと進化しています。

本記事では「CSF 2.0」の改訂点を5つのポイントで整理し、情シスが押さえるべき課題と対応ポイントをご紹介。さらに、～500名規模の中堅企業を想定し、どのように「NIST CSF 2.0」への対応を進めるべきかの具体的なアドバイスもご提供します。

【関連記事】 情シスのための「サイバーセキュリティプレイブック」の作り方

NIST CSF 2.0を知るための、5つの改定ポイント──CSF 1.0とは何が違うのか？

米国国立標準技術研究所（NIST）が2014年に策定した「NIST Cybersecurity Framework（CSF）」は、民間企業や政府機関におけるセキュリティ対策のベースラインとして、長年にわたり国際的に活用されてきました。産業界と政府の協働によって開発されたこのフレームワークは特に、技術ベンダーに依存しない汎用性と実践性の高さが評価されています。

そして2024年2月26日、約10年ぶりにフルアップデートされた「CSF 2.0」が発表されました。 その主な改定ポイントを詳しく見ていきましょう。

1.新設された「Govern（ガバナンス）」機能──経営層の責任を明確化

NIST CSFはこれまで、「Identify」「Protect」「Detect」「Respond」「Recover」の5つのコア機能で構成されていました。 この5機能はそれぞれ、セキュリティのライフサイクルを体系化したもので、CSF 2.0では、これらの“実行フェーズ”を支える上位概念として、新たに「Govern（ガバナンス）」が追加されました。

それぞれの概要は以下の通りです。

NISTは「Govern」を連関する5機能の中心とし、サイバーセキュリティを組織全体のリスクマネジメント戦略にするための重要事項と位置付けています。

実務的には、Governを「IT部門の上位で経営が関与するマネジメント機能」と考えるとよいでしょう。例えば、経営層がサイバーリスクを財務・事業リスクの一部としてモニタリングする仕組みを作る、CSIRT・内部監査部門の報告ラインを明確にする、セキュリティKPIを経営会議で定例報告する──といった形で活用する際に、Governの機能が発揮されます。

2.サプライチェーンリスク管理（C-SCRM）の体系化

CSF 2.0では、サプライチェーン全体を含むリスク管理が、明確に取り上げられました。

新設されたガバナンス領域の下に「GV.SC（サプライチェーンリスク管理）」カテゴリが設けられ、ベンダーやクラウド事業者など外部委託先に対しても、契約・運用・監査の各段階でセキュリティ要件を定義・管理することが求められています。

具体的には以下のような実務レベルの「成果（Outcome）」が明文化されています。

・サプライチェーン全体のリスク管理方針について組織のステークホルダーで合意形成する
・サプライヤーとの契約にセキュリティ条項を組み込む
・定期的に第三者リスクを評価し、監視を行っている

このように、CSF 2.0ではサイバーセキュリティリスクを組織内部のみの問題として捉えるのではなく、サプライチェーン全体を含む広範なエコシステム全体で管理することを重視しています。

3.あらゆる規模の組織で使える柔軟な設計

CSF 2.0は、大企業だけでなく中小規模組織にも導入しやすい構成へと刷新されました。

各カテゴリには「Implementation Example（実施例）」が追加され、例えば「初採用時、毎年、および方針が更新されるたびに、サイバーセキュリティリスク管理方針の確認を促す」といった、現場がイメージしやすい行動指針が示されています。

また、NISTは「Quick Start Guide」や「Small Business Profile」など、組織規模別の導入支援資料も公開しており、それらは、IPA（一般社団法人 情報処理推進機構）のWebサイトでも翻訳・監修を行った上で、公開されています（セキュリティ関連NIST文書について┃一般社団法人 情報処理推進機構）。

情シス担当者はこれらを参照すると、自社に適したスコープと優先順位を設定しやすくなるはずです。

4.「プロファイル」概念の拡張──戦略と実装をつなぐ橋渡し

CSF 2.0では、以前から存在していた「プロファイル（Profile）」の概念が大幅に拡張されました。

プロファイルとは、組織が自社のサイバーセキュリティ態勢を、CSFコアの成果の観点から記述するための仕組みです。CSF 1.0では「現状プロファイル（Current Profile）」と「目標プロファイル（Target Profile）」の比較によってギャップを特定し、改善計画を策定する目的で使われていました。

CSF 2.0ではこの仕組みを発展させ、経営戦略・リスク評価・コンプライアンス対応など複数の観点からプロファイルを柔軟に作成できるようになりました。例えば「事業継続性重視型」「法令遵守優先型」「クラウド移行推進型」といったように、目的別に複数のプロファイルを設計し、経営層のリスク許容度や事業フェーズに応じて選択・更新するといった使い方を可能にします。

このように、CSF 2.0ではプロファイルを静的な文書ではなく、動的な枠組みとしてダイナミックに活用するのが特徴です。

5.他フレームワークとの整合性を強化

最後に注目すべきは、ほかのリスク管理・セキュリティ基準とのマッピング強化です。

CSF 2.0では、ISO/IEC 27001、NIST SP 800-53、NIST Risk Management Framework（RMF）、およびERM（Enterprise Risk Management）など、関連する枠組みとの対応関係が整理され、「Cybersecurity and Privacy Reference Tool（CPRT）」としてNIST公式サイト上で公開されています。

このマッピングにより、各組織が既に採用しているセキュリティ基準や内部統制基準とCSFを容易に統合できるようになりました。例えば、内部監査でISO 27001を参照している企業が、同時にCSF 2.0の指標を活用することで、リスク評価・改善活動の一貫性が高まります。

さらに、ERMとの整合性強化などにより、CSFは「サイバーセキュリティを、企業全体の経営リスクとして扱う姿勢」を明確化しています。経営層もCSFを用いてリスク受容水準を明示し、財務リスクなどと同様に重視することが求められているのです。

なぜ重要なのか──経営視点へのシフト

今回の改訂の本質は、単なる「技術的セキュリティ対策の充実」ではありません。むしろ重視されているのは、「セキュリティを経営リスクと捉え、経営層が主体的に関与する体制をつくること」です。

IT部門が単独で守りを固める時代は終わり、取締役会レベルでのサイバーリスク認識と、全社的な体制構築が求められています。CSF 2.0はその方向性を明確に示し、セキュリティガバナンスの標準化と成熟度向上を図るための道標として、あらためて注目を集めています。

情シスが直面する課題とこれから必要な4つの力

NIST CSF 2.0では、単なる技術対策の整備ではなく、「経営」「供給網」「文化」といった広義のリスクマネジメントが強調されるようになりました。これにより、従来の“IT部門だけで完結するセキュリティ対策”では対応しきれない現実が、情シス部門に突きつけられています。

例えばどういった課題があり、それに対応するためにどんな能力が求められるようになったのでしょうか。

以下で詳しく見ていきましょう。

【1】経営と現場をつなぐ「翻訳力」

CSF 2.0では、サイバーセキュリティを「ITの課題」ではなく「経営リスクの一部」として捉えることが明示されました。ここで情シスに求められるのが、経営的視点で現場をつなぐ‟翻訳者”としての能力です。

現場では脆弱性スキャンの結果や検知ログなど、技術的な情報が中心になります。一方、経営層が関心を持つのは「それがどの程度、事業継続性・レピュテーション・収益に影響するのか」という経営判断のための情報です。

したがって情シス担当者は、セキュリティリスクを「どの資産にどれだけの損害が発生し得るか」「投資によってどの程度リスクを低減できるか」といったリスクベース思考とROIの文脈で言い換える力が必要になります。例えば、単に「ゼロデイ脆弱性が見つかりました」と伝えるだけでなく、「放置すれば○○時間のシステム停止と○○万円の損失リスクがあるため、優先的に対応すべき」という形で説明できることが重要です。

【2】サプライチェーンを含めた「統合リスク管理力」

クラウド利用や業務委託が一般化したいま、企業のセキュリティリスクはもはや自社のネットワーク境界内にとどまりません。CSF 2.0ではこの現実を踏まえ、「サプライチェーンリスク管理」を独立した重点領域として強化しました。

ここで情シスに求められるのは、自社のセキュリティ対策を固めるだけでなく、取引先やベンダー、クラウド事業者を含めた全体最適のリスクマネジメントを実現する力です。例えば、契約段階で責任分界点（データ保護・インシデント対応・監査権限など）を明文化し、定期的なセキュリティ評価や是正サイクルを運用することが重要です。

経営層にとっては「どこまでが自社責任で、どこからが委託先依存なのか」を把握できることが、説明責任（アカウンタビリティ）の根幹になります。この「統合リスク管理力」は、信頼性を基盤とした長期的なパートナーシップの構築にも直結するでしょう。

【3】データドリブンでリスクを可視化する「分析力」

CSF 2.0では、サイバーリスクを“感覚”ではなく“データ”で把握する姿勢が強調されています。攻撃ログや脅威インテリジェンス、脆弱性診断の結果などを統合し、リスクスコアを算出・可視化することで、どのリスクを優先的に対処すべきかを客観的に判断できるようになります。

例えば、EDR／SIEMで検出されたインシデント件数やMTTR（平均復旧時間）をKPIとして継続的にトラッキングし、KRI（Key Risk Indicator）として経営層に報告することで、セキュリティの「健全度」を数値で説明できます。さらに、これらのデータをトレンド分析やヒートマップ化することで、リスクの増減や対策効果を“見える化”し、次の投資判断やリソース配分につなげるまでを設計することが求められつつあります。

【4】法規制・標準への適応を導く「運用設計力」

CSF 2.0は、ISO 27001やNIST SP 800シリーズといった既存標準に加え、EU AI Actや個人情報保護法など各国の法規との整合性を意識して再設計されています。これにより、セキュリティ対策を“技術管理”だけでなく“法令遵守の仕組み”として運用できるようになるのです。

そのため情シスには、国内外の法改正や認証要件の変更（ISMS、SOC2、JC-STARなど）を継続的にキャッチアップし、自社ポリシー・手順書・監査項目に反映する運用設計力が必要となります。例えば、AIを活用するシステムであれば、学習データの出所や説明責任の記録といったAIガバナンスを整備する、といった対応がその力が発揮されるケースとして挙げられます。

こうしてCSF 2.0を社内の「共通言語」として活用し、サプライチェーン全体で統一的な管理基準を持つことで、取引先・海外拠点とのリスク整合性を確保し、法的トラブルを未然に防ぐ体制が築かれるはずです。

3ステップで解説──中堅企業のCSF2.0活用ロードマップ

NIST CSF 2.0は、グローバル企業の専用フレームワークではありません。むしろ、限られた人員や予算の中で「現実的にセキュリティレベルを引き上げたい」と考える中堅企業こそ、積極的に活用すべき指針です。ここでは、～500名規模の組織を想定し、段階的に取り組むための三つの実践ステップをご紹介します。

ステップ1：まず「現状」を知る──ギャップを可視化して優先順位をつける

最初のステップは、自社のセキュリティ施策がCSF 2.0のどのコア機能（Identify／Protect／Detect／Respond／Recover／Govern）に対応しているのかを明らかにすることです。自社の事業構造やリスクの特徴に合わせて段階的に重点領域を見極めていきましょう。

そこで重要なのがNISTや国内ベンダーの提供するツールやサービスの活用です。無償で公開されている「Self-Assessmentツール」を利用して現状の成熟度を見極めた上で、ベンダーやMSP（マネージドセキュリティサービスプロバイダ）と協力し、第三者の視点からレビューを受けることで客観的な現状評価が可能になるはずです。

この段階で「検知（Detect）は強いが、ガバナンス（Govern）は弱い」といった傾向が見えてくれば、経営層への報告資料として“CSF対応マップ（レーダーチャート）”を作成するのも効果的です。具体的なイメージとしてはIPAが提供する「サイバーセキュリティ経営可視化ツール」を参考にしてみてください。

これにより、次の改善ステップに向けた予算やリソース確保がスムーズになります。

ステップ2：スモールスタートで「Govern」領域を立ち上げる

CSF 2.0で新たに追加された「Govern（ガバナンス）」は、経営レベルでの責任分担やリスク方針、組織文化などを含む中核機能です。しかし中堅企業がいきなりCISO（最高情報セキュリティ責任者）を設置し、全社統制を整備するのは容易ではありません。そこで重要なのが、“できる範囲からはじめる”姿勢です。

まず、情報システム部門に「CSF対応推進リーダー」を任命し、経営層・総務・法務を巻き込んだ小規模なセキュリティ委員会を設置しましょう。その上で、既存の社内ポリシーや委託契約書にセキュリティ条項を追記し、インシデント発生時の報告ルートや責任分担を明文化します。

毎月のように委員会を開かなくても、まずは半期ごとに経営層を交えたレビューを実施するといった対応で問題ありません。CSFの本質は「運用しながら改善していく」ことにあり、また試行錯誤のプロセス自体が、ガバナンス文化の定着につながります。

ステップ3：委託先管理と監査対応を“仕組み化”する

企業にとって、委託先や外部ベンダーのセキュリティ管理は大きな課題です。担当者の異動や退職によって運用が止まらないよう、継続的に回せる仕組みを整備することが導入の成否を左右します。

まず、委託先ごとのセキュリティリスク一覧表を作成し、チェックシートやGoogleフォームを用いて年1回の簡易評価を実施します。次に、監査対応の効率化を目的として、規制対応項目や社内監査質問票をテンプレート化し、提出資料のひな形を共有します。ISMSなどの認証取得企業であってもリスクゼロとは考えず、自社のCSF対応ポリシーと整合しているか、インシデント報告や契約上の責任分担が明確かなどを確認しましょう。

さらに重要なのが、このような運用をルールとして定着させることです。それにより、現代の企業に欠かせない「属人化せずに継続できる」セキュリティ管理体制がやっと生まれます。

CSF 2.0は、グローバル標準でありながら「中小規模組織にも柔軟に使えるよう設計された」ことが公式に明言されています。すべてを完璧に実装する必要はなく、重要なのは「どのように取り組み、どのように改善していくか」というプロセスです。

できるところから、小さく、着実に進めていきましょう。

経営と情シスをつなぐ“対話”の武器としてCSF 2.0を活用する

サイバー攻撃が増加・複雑化し、事業継続に多大な影響を与える中、企業にはセキュリティとガバナンスを「経営課題」として重視することが求められています。「NIST CSF 2.0」は、経営と現場のギャップを埋める共通言語であり、情シスが経営層とリスクを共有し、納得感のある意思決定を導くための“対話の武器”となるはずです。

重要なのは、完璧な実装ではなく、対話と改善の継続です。今回の改定により、CSFは「組織がどのようにリスクを認識し、意思決定するか」を明確にすることに対し、より役立つツールとなりました。企業のセキュリティをモダン化するための羅針盤として、ぜひCSF2.0をご活用ください。