【しーえすえふ】
CSF(サイバーセキュリティフレームワーク) とは?
💡 セキュリティ対策の5本柱を示す世界標準の設計図
📌 このページのポイント
- 識別(Identify)、防御(Protect)、検知(Detect)、対応(Respond)、復旧(Recover)の5機能で構成
- 業種や規模を問わず適用できる汎用的なフレームワーク
- CSF 2.0ではガバナンス(Govern)が追加され6機能に拡張された
- 日本でもサイバーセキュリティ経営ガイドラインのベースとして参照されている
ひよこ CSFってセキュリティのルールブックみたいなもの?
ペンギン先生 ルールというより「こういう観点で対策を整理しようね」っていう枠組みだよ。識別・防御・検知・対応・復旧の5つの機能で、自分たちのセキュリティ対策に抜け漏れがないかチェックできるんだ
ひよこ 5つもあると覚えるの大変そう…
ペンギン先生 家の防犯にたとえると分かりやすいよ。まず何を守るか把握して(識別)、鍵をかけて(防御)、防犯カメラで見張って(検知)、泥棒が来たら通報して(対応)、被害を直す(復旧)。この流れだね
ひよこ 日本の会社も使ってるの?
ペンギン先生 経済産業省の「サイバーセキュリティ経営ガイドライン」がCSFをベースにしているよ。IPAのSECURITY ACTIONもCSFの考え方を取り入れているね
ひよこ CSF 2.0で何か変わったの?
ペンギン先生 2024年にCSF 2.0が出て、経営層の責任を明確にする「ガバナンス(Govern)」が6つ目の機能として追加されたよ。セキュリティは技術者だけの問題じゃなく経営課題だっていう流れが強まっているんだね
📖 おまけ:英語の意味
「Cybersecurity Framework」 = サイバーセキュリティフレームワーク
💬 NISTが2014年に初版を公開したフレームワークで、もともとは米国の重要インフラ向けだったけど、今や世界中の組織が参考にしているよ