ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

日本企業が目指すべき
サイバーセキュリティのグローバル標準

プライスウォーターハウスクーパース
【第6回】 2015年11月17日
著者・コラム紹介バックナンバー
previous page
2
nextpage

 では、海外の企業はどのようなフレームワークを活用しているのだろうか。PwCの最新のグローバル調査によれば、NIST(米国国立標準技術研究所)のサイバーセキュリティフレームワーク(CSF)がISMSを追い抜くような勢いで採用されていることが分かる(図2)。

 ここで注目すべきことは、NISTのCSFはわずか1年半前の2014年2月に発表されたばかりの新しいフレームワークという点である。ではこのNISTのサイバーセキュリティフレームワークとは何なのか、そしてなぜ海外の企業で適用が進んでいるのか、もう少々詳しく見ていきたい。

NISTのCSFいつ生まれたのか

 2013年2月、米国で「重要インフラのサイバーセキュリティ強化に関する大統領令(第13636号)」が発表された。これを受けて、2014年2月にNIST(米国国立標準技術研究所)が発表したのが「重要インフラのサイバーセキュリティを強化するフレームワーク(NISTのCSF)」である。

 NISTのCSFはサイバーセキュリティ管理に必要な項目を「特定」「防御」「検知」「対応」「復旧」の5つのカテゴリに分けて構成している。フレームワークとしての特徴の一つは、企業におけるサイバーセキュリティをリスク管理の一部としてとして扱っている点である。

 つまりこのフレームワークは、そもそも、経営者によるサイバーセキュリティ管理のためのものとして設計されているのである。たとえば、予防的統制は「防御」であり、発見的統制は「検知」に該当するなど、経営者が普段用いているマネジメントやリスク管理の言語でセキュリティを語れることが特徴である。

 特徴の二つ目は、「サイバーセキュリティ対策は企業のリスクレベルに応じた適切なものが実装されるべき」という論理に立脚していることである。

 実はNISTのCSFには、詳細な技術的対策は記載されていない。それは、事業内容や事業規模の違いにより企業を取り巻くサイバー脅威やサイバーリスクの許容度は各社において異なるからである。NISTのCSFでは、まずはリスクレベルを特定し、そのうえで適切な技術的フレームワークを適用すべきとしている。

previous page
2
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧