CSF 2.0に対応、NIST IR8286「サイバーセキュリティとERMの統合」の改訂版を公表 NIST
米国立標準技術研究所(NIST)は昨年12月、サイバーセキュリティリスクを全社的リスク管理(ERM)プロセスに統合するためのガイドライン、「NIST IR8286」の改訂版(Rev.1)を発行しました(NIST IR8286 Rev.1)。同ガイドラインの初版は2020年10月でありその後、目的ごとに詳細なガイドライン(IR8286シリーズ、A~D)が発行されました。今回の改訂によってこれらガイドラインとの明確な紐づけを行うとともに、NIST CSF2.0(Cybersecurity Framework 2.0)との整合性を図りました。
NIST IR8286 Rev.1の目的は、サイバーセキュリティ担当(現場)と経営陣のコミュニケーションを改善することです。一般的に、サイバーセキュリティリスク管理の結果をERMへの入力情報に変換するにはギャップがあるとされるためです。同文書では、サイバーセキュリティのリスクを金額で定量化したり、それらをシステムレベルから組織レベル、全社レベルへと統合したりする手法は、アドホック(その場しのぎ、一貫性がない)でありERMが求めるレベルの厳密さや一貫性に達していないことが多いと指摘しています。
ギャップを埋めるためのツールとしてNIST IR8286 Rev.1では、「リスクレジスタ」の役割を強調しています。現場レベルで技術的な詳細を記録する「サイバーセキュリティリスクレジスタ(CSRR)」を、上位レベルで集約▽正規化▽分析▽優先順位付けすることでギャップは埋められると提唱しています。CSRRの内容を経営陣向けに「翻訳(変換)」する手順なども具体的に示されています。
例えば、現場レベルのCSRR(表形式)の見本例と、それを経営層が判断可能な財務・戦略的視点へと要約・統合した「全社的リスクレジスタ(ERR)」の見本例が付録資料として切り出して収録されました(付録のDとE)。なお、エクセル形式ファイルも補足資料として提供されています。
IR8286シリーズの4文書(A「リスクの特定と推定」▽B「リスクの優先順位付け」▽C「リスクの集約と報告(ステージング)」▽D「ビジネス影響分析(BIA)の活用」)の参照も明記されました。「D」で守るべき資産の価値を理解し、「A」でその資産に対する脅威を見つけてリスクを分析、「B」でどれから対処するかを決めて対策し、「C」でその結果をまとめて経営層に報告・監視する――という流れが体系化されています。
CSF2.0への対応としては、「ガバナンス(Govern)」機能がプロセスに組み込まれました。例えばガバナンスのサブカテゴリ(GV.RM-07)には、ポジティブ・リスクについて記述があり、改訂版ではリスクレジスタの中に「機会(Opportunity)」の項目を設けることを推奨しています。
