サイバー攻撃の標的は、もはや大企業だけではない。警察庁の2025年報告によれば、ランサムウェア被害の約6割が中小企業で発生しており、「うちは狙われない」という認識は完全に過去のものとなった。こうした状況の中、世界標準のセキュリティフレームワークとして注目されているのがNIST CSF 2.0(サイバーセキュリティフレームワーク 2.0)だ。
2024年2月に米国国立標準技術研究所(NIST)が正式リリースしたCSF 2.0は、従来の5機能に「Govern(統治)」を加えた6機能体制へ進化した。これにより、経営層のコミットメントからリスク管理戦略までを体系的に整理できるようになっている。
本記事では、NIST CSF 2.0の全6機能・22カテゴリを中小企業の視点から徹底解説する。具体的な対策内容・費用感・優先順位・段階的な実装ロードマップまで網羅しているため、「何から手を付ければいいかわからない」という企業にとって実践的な指針となるはずだ。
目次
- NIST CSF 2.0とは?1.1からの主な変更点
- 新設「Govern(統治)」機能の重要性
- 6つのコア機能の解説
- 中小企業が優先すべきカテゴリTOP10
- 各機能の具体的な対策と費用感
- 日本の規制との対応関係
- 段階的な実装ロードマップ
- まとめ
NIST CSF 2.0とは?1.1からの主な変更点
NIST CSFの基本理解
NIST CSF(Cybersecurity Framework)は、米国国立標準技術研究所(NIST)が策定したサイバーセキュリティのフレームワークだ。特定の製品やツールを指定するものではなく、「組織がサイバーセキュリティリスクをどのように管理すべきか」を体系化した枠組みである。
もともとは米国の重要インフラ向けに策定されたが、その汎用性の高さから世界中の組織で広く採用されるようになった。日本でも経済産業省の「サイバーセキュリティ経営ガイドライン」やIPAの各種ガイドラインが、NIST CSFの考え方をベースにしている。
バージョン2.0の主な変更点
2024年2月26日にリリースされたCSF 2.0は、2018年のCSF 1.1以来の大幅改訂となった。主な変更点を以下にまとめる。
| 変更点 | CSF 1.1 | CSF 2.0 |
|---|---|---|
| コア機能の数 | 5機能 | 6機能(Governを新設) |
| 対象組織 | 主に重要インフラ | 規模・業種を問わず全組織 |
| カテゴリ数 | 23カテゴリ | 22カテゴリ(再編) |
| サプライチェーン | 一部言及 | 専用カテゴリで体系化 |
| ガバナンス | Identifyの一部 | 独立した最上位機能に昇格 |
| 実装ガイド | 限定的 | 組織プロファイル・ティアの活用例を大幅拡充 |
| 中小企業向け | 特別な配慮なし | Quick Start Guideを提供 |
なぜ中小企業にとって重要なのか
「NISTはアメリカの基準であり、日本の中小企業には関係ない」と考える経営者は少なくない。しかし、以下の3つの理由から、中小企業こそCSF 2.0を理解すべきだ。
1. サプライチェーン評価の標準になりつつある
大手製造業や金融機関が取引先のセキュリティ評価にNIST CSFベースの質問票を使用するケースが急増している。2025年からは経済産業省の「サプライチェーンにおけるセキュリティ評価制度(SCS)」も本格化しており、CSF 2.0への準拠が取引継続の前提条件となる可能性がある。
2. CSF 2.0は「全組織」が対象
CSF 1.1までは暗黙的に大規模組織を想定していたが、2.0では明確に「あらゆる規模の組織」を対象としている。NISTは中小企業向けのQuick Start Guideも公開しており、リソースが限られた組織でも活用できるよう設計されている。
3. 日本の規制がCSFに収斂しつつある
経済産業省の「サイバーセキュリティ経営ガイドライン v3.0」、IPAの「中小企業の情報セキュリティ対策ガイドライン 第3.1版」、いずれもNIST CSFの考え方と整合する形で策定されている。CSF 2.0を理解しておけば、日本の各種規制への対応もスムーズに進められる。
新設「Govern(統治)」機能の重要性
なぜGovern機能が新設されたのか
CSF 2.0で最も注目すべき変更は、「Govern(統治)」機能の新設だ。CSF 1.1ではIdentify機能の下にある一カテゴリに過ぎなかったガバナンスが、全6機能を横断する最上位の機能として独立した。
この変更には明確な理由がある。NIST がCSF 2.0の策定過程で収集した意見の中で最も多かったのが、「セキュリティ対策が経営層に伝わらない」「技術部門だけが頑張っても限界がある」という声だった。Govern機能の新設は、サイバーセキュリティが技術課題ではなく経営課題であることを明確にするための構造改革なのだ。
Govern機能の6つのカテゴリ
Govern機能には以下の6つのカテゴリが含まれる。
| カテゴリID | カテゴリ名 | 概要 |
|---|---|---|
| GV.OC | 組織コンテキスト | 組織のミッション、利害関係者の期待、法的要件を理解する |
| GV.RM | リスク管理戦略 | リスク許容度、優先順位の決定プロセスを確立する |
| GV.RR | 役割・責任・権限 | セキュリティに関する役割と責任を明確にする |
| GV.PO | ポリシー | セキュリティポリシーを策定・維持・伝達する |
| GV.OV | 監督 | セキュリティ活動の成果を経営層が監督する |
| GV.SC | サプライチェーンリスク管理 | サプライチェーン全体のリスクを管理する |
中小企業におけるGovern機能の実践
「うちのような小さい会社でガバナンスなんて大げさだ」と思うかもしれない。しかし、Govern機能の本質は「シンプルなルールを決めて経営者が関与すること」であり、中小企業こそ取り組みやすい。
具体的には以下の3つのアクションから始めればよい。
ステップ1:セキュリティ方針を1枚で作る(GV.PO)
A4用紙1枚程度のセキュリティ基本方針を策定する。「当社はお客様の情報を守るために、以下のルールを遵守する」という宣言と5〜10個のルールがあれば十分だ。
ステップ2:責任者を決める(GV.RR)
セキュリティの責任者を1名決める。専任である必要はなく、総務部長やIT担当者が兼任で構わない。「何かあったらこの人が判断する」という体制が重要だ。
ステップ3:四半期に1回の経営報告(GV.OV)
セキュリティの状況を四半期に1回、経営会議で報告する。内容は「インシデントの有無」「従業員教育の実施状況」「次の四半期の課題」の3点で十分だ。
この3つを実行するだけで、Govern機能の基盤は構築できる。形式に拘る必要はなく、「経営者がセキュリティに関与している」という事実が最も重要なのだ。
6つのコア機能の解説
NIST CSF 2.0の6つのコア機能は、セキュリティ対策のライフサイクル全体をカバーする。Governが全体を統治し、残りの5機能がサイクルを構成する。
1. Govern(統治)- GV
目的: サイバーセキュリティリスク管理の戦略・方針・期待値を確立し、伝達し、監視する。
Govern機能は他の5機能すべてに影響を与える横断的な機能だ。経営層のリーダーシップ、リスク管理戦略、サプライチェーンリスク管理がここに含まれる。
| カテゴリ | 中小企業での実践例 |
|---|---|
| GV.OC 組織コンテキスト | 自社の業種特性・取引先要件・法規制を整理する |
| GV.RM リスク管理戦略 | 「何を最優先で守るか」を経営者が決定する |
| GV.RR 役割・責任・権限 | セキュリティ責任者と報告ラインを明確にする |
| GV.PO ポリシー | セキュリティ基本方針を策定・周知する |
| GV.OV 監督 | 定期的にセキュリティ状況を経営層が確認する |
| GV.SC サプライチェーンRM | 委託先・クラウドサービスのリスクを評価する |
2. Identify(特定)- ID
目的: 組織の現在のサイバーセキュリティリスクを理解する。
何を守るべきかを知らなければ、守りようがない。Identify機能では、保有資産の棚卸し、リスクの特定と評価を行う。
| カテゴリ | 中小企業での実践例 |
|---|---|
| ID.AM 資産管理 | PC・サーバー・クラウドサービスの台帳を作成する |
| ID.RA リスクアセスメント | 情報資産ごとの脅威・脆弱性・影響度を評価する |
| ID.IM 改善 | セキュリティ対策の改善点を特定し計画する |
3. Protect(防御)- PR
目的: サイバーセキュリティリスクを管理するためのセーフガードを実装する。
特定したリスクに対して、実際の防御策を講じる機能だ。アクセス制御、従業員教育、データ保護などが含まれる。
| カテゴリ | 中小企業での実践例 |
|---|---|
| PR.AA アイデンティティ管理・認証・アクセス制御 | 多要素認証の導入、アクセス権の最小化 |
| PR.AT 意識向上・トレーニング | 標的型メール訓練、セキュリティ研修の実施 |
| PR.DS データセキュリティ | データの暗号化、バックアップの実施 |
| PR.PS プラットフォームセキュリティ | OS・ソフトウェアの更新管理、セキュリティ設定 |
| PR.IR 技術的セキュリティ対策の回復力 | 冗長化、復旧手順の整備 |
4. Detect(検知)- DE
目的: サイバーセキュリティ攻撃やインシデントの発生を発見し、分析する。
どれだけ防御を固めても、100%の防御は不可能だ。Detect機能は攻撃を早期に発見するための監視・分析体制を構築する。
| カテゴリ | 中小企業での実践例 |
|---|---|
| DE.CM 継続的モニタリング | ログ監視、不正アクセスの検知ルール設定 |
| DE.AE 有害イベント分析 | アラートの分析・トリアージ、誤検知の排除 |
5. Respond(対応)- RS
目的: 検知されたサイバーセキュリティインシデントに関するアクションを実行する。
インシデントが発生した際の初動対応・エスカレーション・封じ込めを規定する。
| カテゴリ | 中小企業での実践例 |
|---|---|
| RS.MA インシデント管理 | インシデント対応手順書の整備、連絡網の準備 |
| RS.AN インシデント分析 | 原因調査、影響範囲の特定 |
| RS.CO インシデント対応報告 | 関係者・顧客・当局への報告手順を策定 |
| RS.MI インシデント緩和 | 被害の封じ込め、拡大防止措置 |
6. Recover(復旧)- RC
目的: サイバーセキュリティインシデントの影響を受けた資産と運用を復旧する。
インシデント後に通常業務へ復帰するための手順を定義する。
| カテゴリ | 中小企業での実践例 |
|---|---|
| RC.RP 復旧計画の実行 | バックアップからの復旧手順書、BCP連携 |
| RC.CO 復旧に関するコミュニケーション | 復旧状況の社内外への情報発信 |
中小企業が優先すべきカテゴリTOP10
22カテゴリすべてを同時に対応するのは現実的ではない。中小企業のリソースとリスクプロファイルを考慮し、優先的に取り組むべきカテゴリTOP10を以下にまとめた。
| 優先順位 | カテゴリ | 理由 | 想定期間 |
|---|---|---|---|
| 1 | GV.RR 役割・責任・権限 | 責任者不在では何も進まない | 1週間 |
| 2 | ID.AM 資産管理 | 守るべき対象を把握しなければ対策は立てられない | 2〜4週間 |
| 3 | PR.AA アイデンティティ管理・認証・アクセス制御 | 不正アクセスの最大の原因はID/パスワード管理の甘さ | 2〜4週間 |
| 4 | PR.DS データセキュリティ | ランサムウェア対策の要はバックアップ | 1〜2週間 |
| 5 | GV.PO ポリシー | 従業員の行動基準がなければルール違反を防げない | 2週間 |
| 6 | PR.AT 意識向上・トレーニング | 人的ミスが攻撃の入口になるケースが最多 | 継続的 |
| 7 | PR.PS プラットフォームセキュリティ | 脆弱性の放置は攻撃者にとっての入口 | 2〜4週間 |
| 8 | DE.CM 継続的モニタリング | 攻撃の早期発見が被害を最小化する | 4〜8週間 |
| 9 | RS.MA インシデント管理 | 初動の遅れが被害を拡大させる | 2〜4週間 |
| 10 | RC.RP 復旧計画の実行 | 事業継続の最後の砦 | 2〜4週間 |
各機能の具体的な対策と費用感
各機能について、中小企業(従業員50〜300名規模)が実施すべき具体的な対策と、その費用感をまとめる。金額はあくまで目安であり、企業規模やツールの選定によって変動する。
Govern(統治)の対策と費用感
| 対策項目 | 具体的な内容 | 費用感(月額/初期) |
|---|---|---|
| セキュリティ基本方針の策定 | A4用紙1〜2枚の方針書を作成 | 自社対応:0円 / 外部支援:10〜30万円(初期) |
| セキュリティ責任者の任命 | 兼任で1名を任命、役割を明文化 | 0円(人事発令のみ) |
| リスク管理戦略の策定 | リスク許容度・優先順位を経営層で決定 | 自社対応:0円 / コンサル支援:30〜80万円(初期) |
| サプライチェーンリスク評価 | 主要委託先のセキュリティチェックリスト | 自社対応:0円 / 評価ツール:月額3〜10万円 |
| 四半期経営報告の仕組み化 | 報告テンプレートの整備、定例化 | 0円 |
Govern機能は「仕組みを作る」活動であるため、外部コンサルタントを使わなければ費用はほぼかからない。ただし、知見がない場合は初期だけ専門家の支援を受けることを推奨する。
Identify(特定)の対策と費用感
| 対策項目 | 具体的な内容 | 費用感(月額/初期) |
|---|---|---|
| IT資産台帳の作成 | PC・サーバー・クラウドサービスの一覧化 | Excel管理:0円 / 資産管理ツール:月額2〜8万円 |
| ソフトウェア台帳の作成 | 利用中のソフト・ライセンスの棚卸し | 資産管理ツール(上記と共通)で対応 |
| ネットワーク構成図の作成 | 社内ネットワークの可視化 | 自社対応:0円 / 外部調査:20〜50万円(初期) |
| リスクアセスメントの実施 | 情報資産ごとの脅威・脆弱性評価 | 自社対応:0円 / 外部診断:50〜150万円(初期) |
| 脆弱性スキャン | 外部公開サーバー・Webアプリの診断 | 無料ツール:0円 / 有料診断:月額5〜20万円 |
IT資産管理は最低限Excelでも開始できるが、従業員100名を超える場合はIT資産管理ツール(LANSCOPE、SKYSEA等)の導入を推奨する。リスクアセスメントは自社で行う場合、IPAのリスク分析シートを活用すれば無料で実施可能だ。
Protect(防御)の対策と費用感
| 対策項目 | 具体的な内容 | 費用感(月額/初期) |
|---|---|---|
| 多要素認証(MFA)の導入 | Microsoft 365/Google Workspaceの全アカウント | 追加費用なし(標準機能)〜月額500円/人 |
| パスワード管理ツール | 1Passwordなどの法人プラン | 月額500〜1,000円/人 |
| EDR(エンドポイント検知・対応) | CrowdStrike、SentinelOne等 | 月額500〜1,500円/端末 |
| メールセキュリティ | フィッシング対策、添付ファイル検査 | 月額200〜500円/人 |
| バックアップ(3-2-1ルール) | クラウドバックアップ+オフサイト保管 | 月額1〜10万円(データ量による) |
| 標的型メール訓練 | 年2〜4回のフィッシング訓練実施 | 年間10〜50万円 |
| セキュリティ研修 | eラーニング+集合研修 | 月額300〜500円/人 |
| OS・ソフトウェア更新管理 | WSUS/Intune等によるパッチ管理 | 月額300〜1,000円/端末 |
| UTM(統合脅威管理) | FortiGate、Sophos等のゲートウェイ | 月額2〜8万円(拠点あたり) |
| VPN / ZTNA | リモートアクセスのセキュリティ確保 | 月額500〜2,000円/人 |
Protect機能は最も費用がかかる領域だが、効果も最も直接的だ。まずは多要素認証の全社導入とバックアップの3-2-1ルール適用を最優先で実施すべきだ。この2つだけで、ランサムウェア被害の大半を防止・軽減できる。
Detect(検知)の対策と費用感
| 対策項目 | 具体的な内容 | 費用感(月額/初期) |
|---|---|---|
| ログ収集・監視 | SIEM(セキュリティ情報イベント管理) | 月額5〜30万円 |
| SOC(セキュリティ監視)サービス | マネージドSOCへのアウトソース | 月額10〜50万円 |
| NDR(ネットワーク検知・対応) | ネットワークトラフィックの異常検知 | 月額5〜20万円 |
| ダークウェブモニタリング | 自社の情報漏洩を早期発見 | 月額3〜10万円 |
中小企業にとってDetect機能のフル実装はコスト負担が大きい。まずはEDRのマネージドサービス(MDR)を導入し、エンドポイントの検知と対応を外部委託するのが現実的な第一歩だ。SOCやSIEMは事業規模の拡大に応じて検討すればよい。
Respond(対応)の対策と費用感
| 対策項目 | 具体的な内容 | 費用感(月額/初期) |
|---|---|---|
| インシデント対応計画の策定 | 手順書・連絡網・エスカレーションルール | 自社対応:0円 / 外部支援:30〜80万円(初期) |
| インシデント対応訓練 | 年1〜2回の机上訓練(タブレットトップ演習) | 自社対応:0円 / 外部ファシリテーション:20〜50万円/回 |
| フォレンジック体制の確保 | インシデント発生時の調査体制を事前に確保 | リテイナー契約:月額5〜20万円 |
| サイバー保険の加入 | インシデント発生時の費用補償 | 年間10〜50万円(保険料) |
インシデント対応で最も重要なのは、事前に手順書と連絡網を整備しておくことだ。ランサムウェア感染時に「誰に連絡すればいいかわからない」という状態が最悪のシナリオであり、手順書の策定自体は費用ゼロで実施できる。また、サイバー保険は中小企業にとって費用対効果の高い投資であり、年間10万円程度から加入可能だ。
Recover(復旧)の対策と費用感
| 対策項目 | 具体的な内容 | 費用感(月額/初期) |
|---|---|---|
| 復旧計画(BCP)の策定 | 業務システムごとの復旧優先順位・手順を文書化 | 自社対応:0円 / 外部支援:30〜100万円(初期) |
| バックアップ復旧テスト | 年2〜4回の復旧テスト実施 | 自社対応:0円(工数のみ) |
| DR(災害復旧)サイト | クラウドベースのDR環境構築 | 月額5〜30万円 |
| 復旧時のコミュニケーション計画 | 顧客・取引先への通知テンプレート準備 | 0円 |
復旧機能で最も見落とされがちなのがバックアップ復旧テストだ。「バックアップは取っている」という企業でも、実際に復旧を試みたことがないケースは多い。バックアップからの復旧が実際に機能するかを定期的に検証することは、費用ゼロでできる最も効果的な対策だ。
費用感のまとめ(100名規模の中小企業の場合)
| 機能 | 初期費用目安 | 月額費用目安 | 年間合計目安 |
|---|---|---|---|
| Govern(統治) | 0〜100万円 | 0〜10万円 | 0〜220万円 |
| Identify(特定) | 0〜200万円 | 2〜28万円 | 24〜536万円 |
| Protect(防御) | 30〜100万円 | 10〜50万円 | 150〜700万円 |
| Detect(検知) | 0〜50万円 | 10〜80万円 | 120〜1,010万円 |
| Respond(対応) | 0〜130万円 | 5〜20万円 | 60〜370万円 |
| Recover(復旧) | 0〜100万円 | 5〜30万円 | 60〜460万円 |
| 合計 | 30〜680万円 | 32〜218万円 | 414〜3,296万円 |
日本の規制との対応関係
NIST CSF 2.0は米国の基準だが、日本の主要なセキュリティ規制・ガイドラインと高い互換性がある。ここでは特に重要な「サイバーセキュリティ経営ガイドライン v3.0」との対応関係を解説する。
サイバーセキュリティ経営ガイドライン v3.0との対応
2023年3月に改訂された経済産業省の「サイバーセキュリティ経営ガイドライン v3.0」は、経営者に対して10の重要項目を示している。これらはNIST CSF 2.0の6機能と以下のように対応する。
| 経営ガイドライン v3.0 重要10項目 | 対応するCSF 2.0機能 |
|---|---|
| 重要項目1:リスク認識と経営者のリーダーシップ | Govern(GV.OC, GV.OV) |
| 重要項目2:サイバーセキュリティリスク管理体制の構築 | Govern(GV.RR, GV.RM) |
| 重要項目3:サイバーセキュリティ対策のための資源確保 | Govern(GV.RM) |
| 重要項目4:サイバーセキュリティリスクの把握と対応計画 | Identify(ID.RA) |
| 重要項目5:サイバーセキュリティリスクに効果的に対応する仕組みの構築 | Protect(PR.AA, PR.DS, PR.PS) |
| 重要項目6:PDCAサイクルの実施 | Govern(GV.OV), Identify(ID.IM) |
| 重要項目7:インシデント発生時の緊急対応体制の整備 | Respond(RS.MA, RS.AN) |
| 重要項目8:インシデントによる被害に備えた事業継続・復旧体制の整備 | Recover(RC.RP) |
| 重要項目9:ビジネスパートナーや委託先等を含めたサプライチェーンの対策 | Govern(GV.SC) |
| 重要項目10:サイバーセキュリティに関する情報の収集、共有及び開示の促進 | Detect(DE.CM), Respond(RS.CO) |
その他の日本規制との対応
| 日本の規制・ガイドライン | 主に対応するCSF 2.0機能 | 備考 |
|---|---|---|
| IPA 中小企業の情報セキュリティ対策ガイドライン 第3.1版 | 全機能(特にIdentify, Protect) | 「SECURITY ACTION」制度とも連携 |
| 個人情報保護法(2022年改正) | Protect(PR.DS), Respond(RS.CO) | 漏洩等発生時の報告義務に対応 |
| 経済安全保障推進法(2024年施行) | Govern(GV.SC), Identify(ID.AM) | 基幹インフラ事業者のサプライチェーン管理 |
| ISMAP(政府情報システムのセキュリティ評価制度) | 全機能 | クラウドサービス提供者向け |
| SCS(サプライチェーンセキュリティ評価制度)2025年〜 | Govern(GV.SC), 全機能 | NIST CSFベースの評価項目 |
| 金融庁 金融分野におけるサイバーセキュリティガイダンス | 全機能 | NIST CSFを明示的に参照 |
実務上のメリット
NIST CSF 2.0に準拠したセキュリティ体制を構築することで、以下の実務的なメリットが得られる。
1. 複数規制への同時対応
CSF 2.0をベースに対策を実施すれば、サイバーセキュリティ経営ガイドライン・IPAガイドライン・SCS評価の複数に同時に対応できる。規制ごとに別々の対応をする非効率を回避できる。
2. 取引先監査への対応力強化
大手企業が実施するサプライチェーンセキュリティ監査の多くは、NIST CSFベースの質問票を使用している。CSF 2.0ベースの体制があれば、こうした監査にスムーズに対応できる。
3. サイバー保険の保険料削減
一部のサイバー保険では、NIST CSF等のフレームワークに準拠した対策を実施している企業に対して、保険料の割引を適用するケースがある。
段階的な実装ロードマップ
NIST CSF 2.0の全カテゴリを一度に実装しようとすると、リソースが分散し、どれも中途半端になる。以下に、3ヶ月・6ヶ月・12ヶ月の段階的ロードマップを示す。
Phase 1:基盤構築(1〜3ヶ月目)
目標: 最低限の防御体制と管理体制の確立
| 月 | 対応カテゴリ | 主なアクション | 費用目安 |
|---|---|---|---|
| 1ヶ月目 | GV.RR / GV.PO | セキュリティ責任者の任命、基本方針の策定 | 0〜30万円 |
| 1ヶ月目 | ID.AM | IT資産台帳の作成(PC・サーバー・クラウドサービス) | 0〜10万円 |
| 2ヶ月目 | PR.AA | 全アカウントへの多要素認証(MFA)導入 | 0〜5万円 |
| 2ヶ月目 | PR.DS | バックアップの3-2-1ルール適用、復旧テスト実施 | 月額1〜10万円 |
| 3ヶ月目 | RS.MA | インシデント対応手順書の策定、連絡網の整備 | 0〜30万円 |
| 3ヶ月目 | PR.PS | OS・ソフトウェアの更新管理ポリシー策定・実施 | 月額3〜10万円 |
- セキュリティの責任者と基本方針が明確になっている
- 何を守るべきか(資産)が把握できている
- 最も効果的な防御策(MFA・バックアップ・パッチ管理)が実施されている
- インシデント発生時の初動対応が可能になっている
Phase 1の費用目安:初期30〜85万円、月額4〜20万円
Phase 2:防御力強化(4〜6ヶ月目)
目標: 多層防御の実装と検知能力の構築
| 月 | 対応カテゴリ | 主なアクション | 費用目安 |
|---|---|---|---|
| 4ヶ月目 | PR.AT | 標的型メール訓練の実施、セキュリティ研修の導入 | 10〜30万円 |
| 4ヶ月目 | ID.RA | リスクアセスメントの実施(簡易版) | 0〜50万円 |
| 5ヶ月目 | DE.CM | EDR/MDRの導入(エンドポイント監視の開始) | 月額5〜15万円 |
| 5ヶ月目 | PR.AA | アクセス権の棚卸しと最小権限化 | 0〜10万円 |
| 6ヶ月目 | GV.SC | 主要委託先のセキュリティチェック実施 | 0〜20万円 |
| 6ヶ月目 | GV.OV | 経営層への初回セキュリティ報告、四半期報告の定例化 | 0円 |
- 従業員のセキュリティ意識が向上している
- エンドポイントの監視体制が構築されている
- サプライチェーンリスクの可視化が始まっている
- 経営層への報告ラインが確立されている
Phase 2の費用目安:初期10〜110万円、月額5〜15万円(追加分)
Phase 3:成熟度向上(7〜12ヶ月目)
目標: 継続的改善の仕組み化と高度な対策の実装
| 月 | 対応カテゴリ | 主なアクション | 費用目安 |
|---|---|---|---|
| 7〜8ヶ月目 | GV.RM | リスク管理戦略の正式策定、リスク許容度の明文化 | 0〜50万円 |
| 7〜8ヶ月目 | DE.AE | ログ分析体制の構築(簡易SIEM導入検討) | 月額5〜20万円 |
| 9〜10ヶ月目 | RC.RP | 復旧計画(BCP)の策定、DR環境の構築 | 初期30〜100万円 |
| 9〜10ヶ月目 | RS.AN / RS.CO | インシデント対応訓練の実施(机上演習) | 20〜50万円/回 |
| 11〜12ヶ月目 | ID.IM | セキュリティ改善計画の策定、次年度計画の立案 | 0円 |
| 11〜12ヶ月目 | GV.OC | 法規制・業界要件の整理、コンプライアンス対応表の作成 | 0〜30万円 |
- NIST CSF 2.0の全6機能にわたる基本的な対策が実施されている
- 継続的な改善サイクル(PDCAサイクル)が回り始めている
- インシデント対応の実効性が検証されている
- 次年度のセキュリティ投資計画が策定されている
Phase 3の費用目安:初期50〜230万円、月額5〜20万円(追加分)
12ヶ月間の投資サマリー
| フェーズ | 期間 | 初期費用 | 追加月額費用 | 12ヶ月累計 |
|---|---|---|---|---|
| Phase 1 | 1〜3ヶ月 | 30〜85万円 | 4〜20万円 | 78〜145万円 |
| Phase 2 | 4〜6ヶ月 | 10〜110万円 | 5〜15万円 | 25〜155万円 |
| Phase 3 | 7〜12ヶ月 | 50〜230万円 | 5〜20万円 | 80〜350万円 |
| 合計 | 12ヶ月 | 90〜425万円 | 14〜55万円 | 183〜650万円 |
まとめ
NIST CSF 2.0は、中小企業がサイバーセキュリティ対策を体系的に進めるための最良のフレームワークだ。本記事のポイントを振り返る。
NIST CSF 2.0の本質
- 従来の5機能に「Govern(統治)」を加えた6機能体制に進化
- 全規模・全業種の組織を対象としており、中小企業にも適用可能
- 日本のサイバーセキュリティ経営ガイドライン v3.0やIPAガイドラインと高い互換性
中小企業が押さえるべき3つのポイント
- Governから始める: セキュリティ責任者の任命と基本方針の策定が全ての起点。費用はゼロで実施できる
- 優先順位をつける: 22カテゴリの全対応を目指すのではなく、TOP10カテゴリから段階的に着手する
- 費用対効果を意識する: MFAの全社導入とバックアップの3-2-1ルール適用だけで、ランサムウェア被害の大半を防止・軽減できる
実装の現実解
- 最小構成であれば年間約200万円から開始可能(従業員100名規模)
- 3ヶ月・6ヶ月・12ヶ月の段階的ロードマップで無理なく実装
- 一つのフレームワークで複数の日本規制に同時対応できる
サイバー攻撃のリスクは年々増大しており、「いつかやる」では手遅れになる可能性がある。まずはPhase 1の3つのアクション(責任者の任命・資産台帳の作成・MFAの導入)から始めてほしい。