東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

サイバーセキュリティ
フレームワーク②

サイバーセキュリティフレームワーク(CSF) は5つのコア機能と、23のカテゴリーで構成されます。まずは、 5つのコア機能を中心としてセキュリティの検討ができるように取り組みましょう。

識別(特定) :セキュリティ対策が必要なリソースを明確にする

システム、人、資産、データ、機能に対するサイバーセキュリティリスクの管理に必要な理解を深めます。組織はビジネスを取り巻く状況、重要な機能を支える資源、関連するサイバーセキュリティリスクを理解することで、組織が取り組むべき対象を絞って、優先順位付けを行うことを可能にします。

資産情報

防御:ルールを策定しセキュリティリスクをコントロールする

重要サービスの提供を確実にするための適切な保護対策を検討し、実施します。大きな特徴は、発生する可能性のあるセキュリティ事故がもたらす影響を抑制することです。セキュリティ対策などで一番考えられる部分が防御であり、脅威の影響を防ぎます。

セキュリティ対策の実行

検知:事故の発生を即時に把握するための仕組みをつくる

セキュリティ事故の発生を識別するのに適した対策を検討し、実施します。セキュリティ事故のタイムリーな発見を可能にします。

検知

対応:事故に対する対策を用意する

検知されたセキュリティ事故に対処するための適切な対策を検討し、実施します。発生する可能性のあるセキュリティ事故がもたらす影響を封じ込めることを支援します。

自己対応手順の確立

復旧:システムを正常な状態に戻すための必要なタスクを明確にする

復旧を実現するための計画を策定・維持し、セキュリティ事故によって阻害されたあらゆる機能やサービスを元に戻すための適切な対策を検討し、実施します。セキュリティ事故がもたらす影響を軽減するために、通常の運用状態へタイムリーに復旧するのを支援します。

復旧手順の確立

One point

NISTとは、National Institute of Standards and Technologyの略で「米国国立標準技術研究所」という機関です。NISTではセキュリティに関するガイドラインを多く発表しています。その中の代表的なものに、NIST SP800-171というものがあります。「NIST SP800-171」 というガイドラインは、アメリカ政府が基準への準拠を求めたもので、14種類のセキュリティ要件に分けています。この要件に見合わないと、政府の調達基準を満たさないということになります。このため、アメリカ政府とビジネスを行うためには、 NIST SP800-171を遵守する必要があります。