作成日: 2026-06-12
はじめに
前回の記事で、SCSの要求事項Excelを開いてみました。
あのシートをじっくり見た方は、気づいたかもしれません。列の右のほうに「NIST CSF」という文字が並んでいます。
「CSFって何?」「なんで要求事項にCSFが出てくるの?」
今回はそこを整理します。CSFを知っておくと、SCSの要求事項の背景にある「なぜその対策が必要か」という構造が見えてきます。セキュリティ対策の地図として理解しておくと、SCSの内容がずっと分かりやすくなると思います。
NIST サイバーセキュリティフレームワーク(CSF)とは
CSFとは、「サイバーセキュリティ対策の全体を整理した共通の枠組み」です。
正式には「NIST Cybersecurity Framework」といい、米国のNIST(国立標準技術研究所)が作成したものです。現在、世界中の企業・政府機関などで参照されており、経産省やIPAが出しているガイドラインにも、このCSFの考え方が取り入れられています。
IPAがCSFの日本語訳を公開しています。
→ NIST サイバーセキュリティフレームワーク 2.0(IPA 日本語版) https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf
セキュリティに詳しくない方がこれを開くと、「どこがわかりやすいの?」という感想になる可能性が高いと思います(笑)。私が個人的に感じることですが、こういう公式ドキュメントは「読んでわかる」ものではなく、「概念を先に理解してから参照する」ものだと思っています。
なので今回は、個人の解釈として、できるだけシンプルに説明してみます。
CSFをひとことで言うと
「サイバーセキュリティ対策という、よくわからないものの全体像を整理した地図」です。
少し例え話をします。
学生に「勉強しなさい」とだけ言っても、何を勉強したらいいかわかりません。でも「国語・算数・理科・社会・英語を勉強しなさい」と教科(枠組み・フレームワーク)を決めてあげると、やることが一気に明確になりますよね。
CSFはそれと同じ発想です。「サイバーセキュリティ対策をしなさい」とだけ言われると途方に暮れますが、「こういう分類で整理すると全体が見えますよ」という枠組みを示してくれているのがCSFです。
CSFが重視される理由
私がCSFを重要だと感じる理由は、「網羅性」と「わかりやすさ」の両立にあります。
セキュリティ対策は、取り組み始めると「あれもやらないと、これもやらないと」とキリがない印象になりがちです。CSFを使うと、「今自分たちはどのエリアに取り組んでいて、どのエリアが手薄か」が俯瞰できるようになります。経営層への説明にも使いやすく、「技術的な話」をせずに「どの領域の対策が足りていないか」を伝えられるのも実用的な点です。
CSFの6分類
CSFは、セキュリティ対策を6つの機能に分類しています。
2014年にVer.1が公開されたときの5分類の「識別・防御・検知・対応・復旧」は、攻撃者のプロセスに合わせて整理されていました。 2024年にVer.2に改定された際に「ガバナンス」が追加され、現在の6分類になっています。
まず、攻撃者のプロセスと対応する5分類(識別→防御→検知→対応→復旧)とは何かを先に説明し、その後にVer.2で追加されたガバナンスを説明します。
1. 識別(Identify)
「自分たちが守るべきものが何か」を把握するフェーズです。
資産(システム・データ・設備など)を洗い出し、それぞれにどんなリスクがあるかを理解することが中心になります。脅威・脆弱性・リスクの優先順位を整理するのもこのフェーズです。
個人的に、ここが一番地味で、かつ一番重要だと感じています。「防御」の話ばかりが注目されがちですが、「何を守るべきか」が整理できていない状態では、対策に優先順位がつけられません。現場では、防御の施策だけを経営層に説明して「なぜそれが必要なの?」と返される場面を何度も見てきました。識別フェーズをきちんとやっておくと、経営層への説明がぐっと伝わりやすくなると思います。特に事業に与えるリスクなどがきちんと整理されていると、経営層にセキュリティ投資を理解してもらいやすいと感じます。資産を把握するだけではなく、資産に存在する脆弱性(弱点)を可視化し、攻撃者が狙ってくる前に対策する必要があります。
2. 防御(Protect)
識別で守るべき資産を整理し、攻撃者にやられる前に脆弱性を修復できれば良いのですが、脆弱性というのはとてもゼロにできるものではないので、防御システムでブロックする必要があります。
防御システムは1つ導入すれば良いのではなく、メールであればメールフィルタ、パソコンであればアンチウイルスソフトやEDR、ネットワークであればファイアウォールなど、多層・多重に組み合わせて設計する必要があります。経営層からはそんなにたくさん必要なのというような質問を受けるかもしれません。
製品を導入すれば「なんとなく動いてくれる」という性質もあり、6つの中では比較的取り組みやすいフェーズだと思いますが、何を導入すれば良いか、効果をどのように測定するかなどが難しいと感じます。また、識別フェーズで「何を守るか」が整理できていないと、防御の方向性がずれてしまうこともあります。
3. 検知(Detect)
識別・防御を実施しても、攻撃は完全に防ぐことはできません。そこで、攻撃や異常な動きに気づく検知が必要になります。
どれだけ対策を打っても、攻撃者は新しい手口を使ってきます。侵入や不審な動きをいち早く検知できる体制があるかどうかが、被害の大きさを左右します。
私はこの検知フェーズが、6つの中で一番難しいと感じています。
識別は情報セキュリティ活動の一環としてやっている、防御はシステムを導入すれば動いてくれる。でも検知は、ルールを作って、アラートが出たら対応する体制を維持し続けなければなりません。「アラートは出ていたのに誰も気づかなかった」「攻撃の兆候があったが知識・経験が不足していて見逃した」というケースを、自分の周りだけでも何度か見てきました。最近では機械学習やAIを使った検知もありますが、何を正常として、何を異常とするか検知ルールを作り込む必要もあります。
24時間365日の対応も求められるので、自社社員だけでは運用が難しいと思います。中堅・中小企業がここを自力で構築・運用するのは相当ハードルが高い部分であり、外部のセキュリティ会社のサービスを利用することも選択肢に入れて良いと思います。
4. 対応(Respond)
攻撃や異常を検知した後、被害を最小化するために動くフェーズです。
私の役割であるCSIRT(コンピューターセキュリティインシデントレスポンスチーム)の「R」であり、主な業務の一つです。
インシデントの規模・深刻度はさまざまで、「これは本物の攻撃か、誤検知か」を素早く判断して、必要な対策に工数を適切に配分することが大事です。何年経験しても「まだまだ自分のレベルは十分ではない」と感じています。
また、このフェーズで強調したいのが「連絡フローの整備」です。インシデントが起きたとき、誰に、どの順番で報告するかが事前に決まっていないと、対応が後手に回ります。サイバー攻撃は夜間・休日に発生することも多いので、いつでも連絡できるようにしておかなければなりません。特に経営層・IT部門への連絡体制は、平時に整えておくことが非常に重要です。インシデント対応訓練も、避難訓練と同じく、定期的に実施しているかどうかで有事の動き方が大きく変わります。
5. 復旧(Recover)
攻撃による被害から、業務を元の状態に戻すフェーズです。
どれだけ識別・防御・検知・対応を実施していても、攻撃を100%防ぐことはできません。そのため、「もし被害に遭ったとき、どう戻すか」の準備も、対策の一部です。
特に重要なのがバックアップです。ただし、「バックアップがある」だけでは不十分な場合があります。
たとえば、本番環境と同じネットワーク上にバックアップを保存していた場合、攻撃者が侵入した際にバックアップも同時に暗号化・破壊されてしまいます。機器故障に備えたバックアップと、サイバー攻撃を想定したバックアップでは、設計の考え方が違います。「バックアップは取っている」から一歩進んで、「攻撃された場合でも復元できるか」を考えておく必要があります。
また、保存したバックアップから実際に復元できるかどうかを訓練しておくことも大切です。これを定期的にやれている企業はまだ少ないのが実態だと思います。
6. ガバナンス(Govern)――2024年に追加された分類
セキュリティ対策や運用のAI化や自動化も進んできていますが、上記で挙げた5つの活動は「人間」によって行われるものです。 セキュリティ活動全体を「組織として運営するための仕組み」にするために必要なのがガバナンスです。
具体的には、セキュリティに関する方針・役割・責任体制・リスクマネジメントの考え方などが含まれます。「誰が何をするか、何に責任があるか」「経営層はどう関与するか」「決めたことは周知されているか」などの話です。
Ver.2で追加された背景には、「技術的な対策は進んでいても、組織としての管理体制が曖昧なままでは持続しない」という考え方があるのではないかと思います。経営層の関与が必要ですし、役割や責任を明確にしないと活動を推進する人が出てこないと感じます。なかなかセキュリティの専任者を任命するのは余裕がないかもしれませんが、一人でも責任感を持った専任者がいるとセキュリティ活動は推進されると思います。兼務だとどうしてもメイン業務が優先となり、後回しにされるのがセキュリティだと感じます。
CSFとSCSの関係:O列に並んでいる理由
改めて、CSFとSCSの関係を整理します。
SCSの要求事項ExcelのO列には、各項目がCSFのどの機能に対応しているかが記載されています。つまり、SCSの要求事項はCSFの6分類(ガバナンス・識別・防御・検知・対応・復旧)に基づいて構成されています。
SCSへの対応はCSFという地図に照らし合わせて考えると理解しやすい、ということです。
このブログが目指していること
私はグローバルな製造業グループのCSIRTリーダーとして働いており、セキュリティ製品を売る立場ではありません。自動車部品メーカーに勤めているため、取引先にセキュリティ要件を「求める側」であり、完成車メーカーから要件を「求められる側」でもあります。
その立場から、「このブログを読んだ担当者が、経営者を動かすための言葉と資料を手に入れられる」ことを目指して書いています。
ベンダーには書けない「要求する側の現場目線」を込めるのが、このブログの差別化です。難しい言葉をわかりやすく言い換えるだけでなく、「現場では実際にどう判断するか」という視点を大事にします。
次回の予告
次回は、SCS対応の前段階として知っておきたい「SECURITY ACTION(★1・★2)」を整理します。
SCS評価制度(★3〜★5)と一体の評価体系を構成しているSECURITY ACTIONとは何か。1つ星・2つ星の内容と、★3との関係をわかりやすく説明します。「何から手をつけるか」という問いへの答えにもなる内容ですので、引き続きお付き合いください。
相談してみませんか?
「ちょっと聞いてみたい」という段階でも構いません。私の経歴・支援内容の詳細は「このブログについて」をご覧ください。
なお、SCSへの関心が高まる中、制度に便乗した不審な勧誘も出てきています。私のことも含め、見知らぬ相手を安易に信用しすぎないようご注意ください。経産省も注意喚起を出しています。
→ サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)に係る不適切な勧誘に御注意ください
https://www.meti.go.jp/policy/netsecurity/20260427_scs.html
CISSP・情報処理安全確保支援士 | けい
コメント