2024年2月、米国国立標準技術研究所(NIST)がサイバーセキュリティフレームワーク(CSF)のバージョン2.0を正式リリースした。 2014年のCSF 1.0、2018年のCSF 1.1に続く大幅改訂であり、最大の変更点は新たに「Govern(統治)」機能が追加され、従来の5機能から6機能へと拡張されたことだ。「アメリカの話で自社には関係ない」と思う中小企業経営者は多いが、現実はそうではない。大手企業がサプライチェーンセキュリティの評価にNIST CSFを採用するケースが増えており、IPA(情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」もNIST CSFの考え方をベースにしている。本記事では、NIST CSF 2.0を日本の中小企業が実務レベルで活用するための具体的な方法を、IPAガイドラインとの対応表付きで解説する。
目次
- NIST CSF 2.0とは何か
- なぜ日本の中小企業に関係するのか
- 6機能の全体像と相互関係
- IPAガイドラインとの対応表
- 実装の優先順位:Govern→Identify→Protect
- 具体的なアクション一覧
- セキュリティ体制構築の費用感
- よくある質問(FAQ)
- まとめ
NIST CSF 2.0とは何か
NIST CSFの概要
NIST サイバーセキュリティフレームワーク(CSF)は、組織がサイバーセキュリティリスクを管理するためのフレームワーク(枠組み)だ。特定の技術や製品を指定するものではなく、「何を守るべきか」「どのような体制が必要か」を体系的に整理する考え方を提供する。
| 項目 | 内容 |
|---|---|
| 正式名称 | NIST Cybersecurity Framework 2.0 |
| 発行 | NIST(米国国立標準技術研究所) |
| リリース日 | 2024年2月26日 |
| 対象 | すべての組織(規模・業種を問わない) |
| 位置づけ | 義務ではなく推奨フレームワーク |
| 言語 | 英語(日本語翻訳はIPAが順次対応中) |
バージョン1.1からの主な変更点
| 変更点 | CSF 1.1 | CSF 2.0 |
|---|---|---|
| 機能の数 | 5(Identify/Protect/Detect/Respond/Recover) | 6(Govern/Identify/Protect/Detect/Respond/Recover) |
| 対象組織 | 主に重要インフラ | すべての組織 |
| サプライチェーン | 一部言及 | 明示的に強調 |
| ガバナンス | 他の機能に散在 | 独立した機能として格上げ |
| 実装の柔軟性 | ティア(成熟度レベル) | 組織プロファイルを活用 |
セクションまとめ:NIST CSF 2.0は、セキュリティを技術問題から経営課題へ格上げし、すべての組織を対象に拡大した。Govern(統治)機能の追加が最大の変更点だ。
なぜ日本の中小企業に関係するのか
「NISTはアメリカの基準だから日本の中小企業には無関係」という認識は間違いだ。以下の3つの理由から、日本の中小企業にも実質的な影響がある。
理由1:取引先からの要求
大手製造業やIT企業が、取引先(サプライヤー)に対してセキュリティ基準の遵守を求めるケースが急増している。その基準としてNIST CSFが参照されることが多い。
| 業界 | 具体例 |
|---|---|
| 自動車 | 大手完成車メーカーが部品サプライヤーにNIST CSFベースのセキュリティチェックシートを配布 |
| IT | SIerが下請け企業にセキュリティポリシーの提出を要求(NIST CSF準拠が望ましい) |
| 金融 | 銀行がフィンテック連携先にNIST CSF対応を要求 |
| 防衛 | 防衛装備庁が調達先にNIST SP 800-171(CSFと関連)への対応を義務化 |
理由2:IPAガイドラインとの一貫性
IPAが発行する「中小企業の情報セキュリティ対策ガイドライン」は、NIST CSFの考え方を反映して設計されている。IPAガイドラインに沿って対策を進めれば、自然とNIST CSFの基本的な要素をカバーできる。
理由3:サイバー保険・認証の基準
サイバー保険の審査や、各種セキュリティ認証(ISMSなど)の取得においても、NIST CSFの考え方が基盤として活用されている。
セクションまとめ:NIST CSF 2.0は「アメリカの基準」ではなく、日本の取引先要件・IPAガイドライン・保険審査にも影響する実務的なフレームワーク。知らないことが取引上の不利益につながりうる。
6機能の全体像と相互関係
NIST CSF 2.0の6機能は、以下の構造で相互に関連する。
6機能の概要
各機能の役割と中小企業での具体例
| 機能 | 役割 | 中小企業での具体例 |
|---|---|---|
| Govern(統治) | セキュリティの方針・体制・リスク管理を経営レベルで統括 | セキュリティ方針の策定、責任者の任命、予算の確保 |
| Identify(特定) | 守るべき資産・リスクを把握 | IT資産台帳の作成、リスクアセスメントの実施 |
| Protect(防御) | リスクを低減する予防措置 | アクセス管理、ウイルス対策、暗号化、社員教育 |
| Detect(検知) | セキュリティインシデントを早期に発見 | ログ監視、不正アクセス検知、EDR導入 |
| Respond(対応) | インシデント発生時の対処 | インシデント対応計画、被害の封じ込め、関係者への通知 |
| Recover(復旧) | 通常業務への復帰 | バックアップからの復旧、再発防止策の実施 |
IPAガイドラインとの対応表
IPAの「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」とNIST CSF 2.0の対応関係を示す。これにより、IPAガイドラインで既に対応している項目がNIST CSFのどの機能に該当するか確認できる。
対応表
| NIST CSF 2.0 機能 | NIST CSF 2.0 カテゴリ | IPAガイドライン該当箇所 | 中小企業での対応策 |
|---|---|---|---|
| Govern | 組織のコンテキスト | 「経営者の役割」(Part I) | 経営者がセキュリティを経営課題として認識 |
| Govern | リスク管理戦略 | 「情報セキュリティ基本方針」 | 基本方針の策定と全社周知 |
| Govern | 役割と責任 | 「管理体制の構築」 | セキュリティ責任者の任命 |
| Govern | サプライチェーンリスク管理 | 「委託先の管理」 | 委託先との秘密保持契約、セキュリティ要件の明示 |
| Identify | 資産管理 | 「情報資産の洗い出し」(付録3) | IT機器・ソフト・データの台帳作成 |
| Identify | リスクアセスメント | 「リスク分析」(付録4) | 脅威と脆弱性の洗い出し、リスク値の算出 |
| Protect | アイデンティティ管理・認証 | 「アクセス制御」 | パスワードポリシー、多要素認証(MFA) |
| Protect | データセキュリティ | 「情報の管理」 | 機密区分の設定、暗号化 |
| Protect | 意識向上・トレーニング | 「従業員教育」 | 年1回以上のセキュリティ研修 |
| Protect | プラットフォームセキュリティ | 「技術的対策」 | ウイルス対策、OSアップデート、ファイアウォール |
| Detect | 継続的モニタリング | 「ログの管理」 | アクセスログの取得・保管 |
| Respond | インシデント管理 | 「インシデント対応」(付録7) | 対応フロー策定、連絡先リスト整備 |
| Recover | 回復計画の実行 | 「事業継続計画」 | バックアップの3-2-1ルール、復旧手順書 |
SECURITY ACTION との関係
IPAが推進する「SECURITY ACTION」(一つ星/二つ星宣言)は、IPAガイドラインへの取り組みを自己宣言する制度だ。
| レベル | 対応するNIST CSF 2.0機能 | 内容 |
|---|---|---|
| 一つ星 | Govern(一部)+ Protect(基本) | 「情報セキュリティ5か条」の実践 |
| 二つ星 | Govern + Identify + Protect | 「5分でできる!情報セキュリティ自社診断」の実施 |
セクションまとめ:IPAガイドラインは実質的にNIST CSF 2.0の日本版だ。対応表を使えば、既に実施している対策がNIST CSFのどの機能をカバーしているか一目で把握できる。
実装の優先順位:Govern→Identify→Protect
6機能すべてを同時に実装するのは非現実的だ。中小企業が取るべき優先順位を示す。
Phase 1:Govern(経営のコミットメント)【最初の1ヶ月】
何よりも先に、経営者がセキュリティを経営課題として認識し、方針を示すことが出発点だ。
| タスク | 具体的なアクション | 所要時間 |
|---|---|---|
| 基本方針の策定 | IPAのテンプレートをベースに自社用にカスタマイズ | 2〜3時間 |
| 責任者の任命 | セキュリティ責任者(兼任可)を正式に任命 | 即日 |
| 予算の確保 | 年間セキュリティ予算の概算を決定 | 1週間 |
| サプライチェーン方針 | 委託先へのセキュリティ要件を文書化 | 1週間 |
Phase 2:Identify(守るべきものの把握)【2〜3ヶ月目】
| タスク | 具体的なアクション | 所要時間 |
|---|---|---|
| IT資産台帳の作成 | PC・サーバー・ネットワーク機器・クラウドサービスの一覧化 | 1〜2週間 |
| データの分類 | 機密/社外秘/一般の3段階で情報資産を分類 | 1週間 |
| リスクアセスメント | IPAの「5分でできる!情報セキュリティ自社診断」を実施 | 30分 |
| 脆弱性の把握 | 未パッチのOS/ソフトウェア、古いパスワード等を洗い出し | 1週間 |
Phase 3:Protect(基本的な防御策)【4〜6ヶ月目】
| タスク | 具体的なアクション | 月額コスト目安 |
|---|---|---|
| 多要素認証(MFA)の導入 | Microsoft 365/Google Workspaceの MFA設定 | 0円〜500円/人 |
| ウイルス対策ソフトの更新 | Windows DefenderまたはEDR製品の導入 | 0円〜500円/人 |
| OS・ソフトウェアの更新 | 自動更新の有効化、パッチ適用フローの確立 | 0円 |
| バックアップ体制の構築 | 3-2-1ルール(3つのコピー/2種類の媒体/1つはオフサイト) | 数千円〜数万円 |
| 従業員教育 | フィッシング訓練、基本ルールの周知 | 0円〜数万円/回 |
Phase 4:Detect/Respond/Recover(6ヶ月目以降)
| タスク | 具体的なアクション |
|---|---|
| ログ監視の開始 | Windows イベントログ、ファイアウォールログの定期確認 |
| インシデント対応計画の策定 | 発見→封じ込め→根絶→復旧→報告のフロー策定 |
| バックアップの復旧テスト | 四半期に1回、バックアップからの復旧を実際にテスト |
| CSIRT体制の検討 | 社内の役割分担と外部専門家の連絡先を整備 |
セクションまとめ:実装は「Govern(方針)→Identify(把握)→Protect(防御)→Detect/Respond/Recover(検知・対応・復旧)」の順番で段階的に進める。Phase 1は即日から着手可能だ。
具体的なアクション一覧
各機能について、中小企業(従業員50人規模)で実施すべき具体的なアクションをまとめる。
Govern(統治)
| # | アクション | 担当 | 難易度 |
|---|---|---|---|
| 1 | 情報セキュリティ基本方針を策定し、社内に掲示する | 経営者 | 低 |
| 2 | セキュリティ責任者を任命する(兼任可) | 経営者 | 低 |
| 3 | 年間セキュリティ予算を確保する(売上の0.5〜1%目安) | 経営者/管理 | 中 |
| 4 | 委託先へのセキュリティ要件を契約書に明記する | 管理/法務 | 中 |
| 5 | 年1回のセキュリティレビューを経営会議の議題にする | 経営者 | 低 |
Identify(特定)
| # | アクション | 担当 | 難易度 |
|---|---|---|---|
| 6 | IT資産台帳を作成する(PC/サーバー/クラウド/ソフトウェア) | 情シス | 中 |
| 7 | 情報資産を機密度で分類する(機密/社外秘/一般) | 各部門 | 中 |
| 8 | IPAの自社診断を実施する | 管理 | 低 |
| 9 | 外部公開しているシステムの脆弱性を確認する | 情シス | 高 |
Protect(防御)
| # | アクション | 担当 | 難易度 |
|---|---|---|---|
| 10 | 全アカウントにMFA(多要素認証)を設定する | 情シス | 低 |
| 11 | 退職者のアカウントを速やかに無効化するフローを整備する | 人事/情シス | 低 |
| 12 | OS・ソフトウェアの自動更新を有効にする | 情シス | 低 |
| 13 | バックアップを3-2-1ルールで実施する | 情シス | 中 |
| 14 | 年1回以上のセキュリティ研修を実施する | 管理/情シス | 中 |
| 15 | USBメモリの利用ルールを策定する | 管理 | 低 |
Detect(検知)
| # | アクション | 担当 | 難易度 |
|---|---|---|---|
| 16 | ファイアウォール/UTMのログを週次で確認する | 情シス | 中 |
| 17 | 不審なログイン試行のアラートを設定する | 情シス | 中 |
| 18 | EDR(Endpoint Detection and Response)を導入する | 情シス | 高 |
Respond(対応)
| # | アクション | 担当 | 難易度 |
|---|---|---|---|
| 19 | インシデント対応フローを策定する | 管理/情シス | 中 |
| 20 | 外部の相談窓口(IPA/警察/弁護士)の連絡先リストを作成する | 管理 | 低 |
| 21 | 年1回、インシデント対応の机上訓練を実施する | 管理/情シス | 中 |
Recover(復旧)
| # | アクション | 担当 | 難易度 |
|---|---|---|---|
| 22 | バックアップからの復旧テストを四半期に1回実施する | 情シス | 中 |
| 23 | 事業継続計画(BCP)にサイバーインシデントを含める | 経営者/管理 | 高 |
セキュリティ体制構築の費用感
従業員50人規模の中小企業における年間費用目安
| 対策 | 月額コスト | 年間コスト | 対応するCSF機能 |
|---|---|---|---|
| セキュリティ方針策定(自社対応) | 0円 | 0円 | Govern |
| IT資産台帳の作成(Excel) | 0円 | 0円 | Identify |
| MFA設定(Microsoft 365 E3に含まれる) | 0円(追加費用なし) | 0円 | Protect |
| Windows Defender(OS標準) | 0円 | 0円 | Protect |
| バックアップ(クラウド50GB/人) | 約5万円 | 約60万円 | Protect/Recover |
| セキュリティ研修(オンライン) | — | 10万〜30万円 | Protect |
| UTM(統合脅威管理) | 3万〜8万円 | 36万〜96万円 | Protect/Detect |
| EDR(50ライセンス) | 2.5万〜5万円 | 30万〜60万円 | Detect |
| セキュリティ運用代行(基本プラン) | 10万〜20万円 | 120万〜240万円 | Detect/Respond |
| 合計(基本対策のみ) | — | 約136万〜486万円 |
コスト削減のポイント
- Microsoft 365 E3/E5を活用:MFA、Windows Defender for Endpoint、Intune、Azure AD等が統合ライセンスに含まれる
- IPAのサイバーセキュリティお助け隊サービス:月額数千円〜で基本的な監視を利用可能
- IT導入補助金(セキュリティ対策推進枠):最大100万円の補助。詳細は中小企業向け補助金完全ガイドを参照
- ゼロトラストの段階的導入で投資を平準化。詳細はゼロトラストセキュリティ導入ガイドを参照
セクションまとめ:基本対策のみなら年間136万円程度から可能。Microsoft 365の既存ライセンスと補助金を活用すれば実質負担はさらに軽減される。「何もしないコスト」(インシデント時の平均被害額6億円超)と比較すれば、投資対効果は明白だ。
NIST CSF 2.0に基づくセキュリティ体制、何から始めますか?
GXOでは、NIST CSF 2.0の6機能に基づくセキュリティ診断(無料)を実施しています。現状の対策がどの機能をカバーしているかを可視化し、優先的に取り組むべきアクションと費用感を具体的にご提案します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q1. NIST CSF 2.0への対応は法的に義務化されているのか?
日本では法的義務ではない。 NIST CSFは「推奨フレームワーク」であり、対応しなくても法律違反にはならない。ただし、取引先からの要求、サイバー保険の審査、ISMS認証の取得において事実上の基準となりつつある。また、個人情報保護法の「安全管理措置」の具体的内容としてNIST CSFが参照されるケースもある。
Q2. ISMSとの違いは何か?
ISMSは認証制度、NIST CSFはフレームワーク(枠組み)だ。 ISMS(ISO 27001)は第三者認証を取得する制度であり、審査費用や維持費用がかかる。NIST CSFは自己評価で活用でき、認証費用は不要。中小企業はまずNIST CSF/IPAガイドラインで体制を整え、必要に応じてISMS認証を検討するのが現実的だ。
Q3. 自社のセキュリティ対策がNIST CSF 2.0のどのレベルにあるか知りたい
IPAの「5分でできる!情報セキュリティ自社診断」を実施するのが最も手軽な方法だ。 25項目の質問に答えるだけで、自社のセキュリティレベルを把握できる。その結果をNIST CSF 2.0の6機能と照らし合わせれば、どの機能が弱いかが見えてくる。
Q4. Govern(統治)機能がない状態でも、Protect(防御)から始めてよいか?
技術的な防御策から始めること自体は問題ない。 ただし、Governなき防御は「なぜその対策を行うのか」「予算は適切か」「責任者は誰か」が不明確なまま進むことになる。最低限、経営者が「セキュリティは経営課題である」と宣言し、責任者を任命するだけでもGovernの第一歩になる。
Q5. CSIRTの構築は中小企業にも必要か?
専任チームの設置は不要だが、「インシデント発生時に誰が何をするか」の役割分担は必須だ。 50人規模であれば、情シス担当者+管理部門の責任者+外部セキュリティベンダーの3者で対応体制を構築するのが現実的だ。詳細はCSIRT構築ガイドを参照してほしい。
まとめ
NIST CSF 2.0は、中小企業にとって「難しい海外基準」ではなく、自社のセキュリティ対策を体系的に整理するための実用的なフレームワークだ。
| ステップ | アクション | 期間目安 |
|---|---|---|
| 1 | 経営者がセキュリティを経営課題と認識(Govern) | 即日 |
| 2 | IT資産台帳の作成・リスクアセスメント(Identify) | 1〜2ヶ月 |
| 3 | MFA・OS更新・バックアップの基本対策(Protect) | 3〜6ヶ月 |
| 4 | ログ監視・インシデント対応体制の構築(Detect/Respond/Recover) | 6ヶ月〜 |
AI活用によるセキュリティ体制の高度化についてはAI導入完全ガイドも参照してほしい。
セキュリティ体制の構築、プロに任せませんか?
GXOはNIST CSF 2.0とIPAガイドラインの両方に精通した専門家が、貴社のセキュリティ体制をゼロから設計・構築します。セキュリティ診断(無料)→ 対策計画 → 実装支援 → 運用サポートまで一貫して対応。補助金の活用もご提案します。
※ オンライン完結OK | 補助金活用のアドバイスも可能