NIST CSF 2.0の新機能「Govern」が問う:サイバーセキュリティは経営の仕事か?

いつも勉強させてもらます、Cybersecurity Business Hubのコンテンツチーム...

いつも勉強させてもらってます、Cybersecurity Business Hubのコンテンツチームの一員です。と言っても、は専門家というより、このサイトで皆さんと一緒に学ばせてもらっている立場なんですけどね。このサイトって、サイバーセキュリティを単なるIT部門の難しいお仕事じゃなくて、「ビジネスをどう守り、どう成長させるか」という経営の視点から捉え直そう、というメッセージが一貫していますよね。技術の話に偏りがちなこの分野で、そのスタンスは本当に大事だなって、記事を読むたびに感じています。最近、サイトのニュース記事で「NIST サイバーセキュリティフレームワーク(CSF)2.0」が取り上げられているのを見て個人的に「これだ!」と考えられるところがあったので、今日はそのことについて少し書いてみようかなと。

今回アップデートされたCSF 2.0で、一番「おっ」と思ったのが、新しく中核機能として追加された...

今回アップデートされたCSF 2.0で、一番「おっ」と思ったのが、新しく中核機能として追加された「Govern(統治)」なんです。これまでの「識別」「防御」「検知」「対応」「復旧」の5つの機能に、大元締めみたいなやつが加わった感じです。これって、単に管理項目が増えたという話じゃなくて、「サイバーセキュリティ戦略と、会社の経営戦略や事業戦略がちゃんと連携してる?」という根本的な問いを、経営層に突きつけるものだと思うんです。NISTの公式ページ([https://www.nist.gov/cyberframework](https://www.nist.gov/cyberframework))の資料を見ると、この「Govern」が他の5つの機能を横断的に支える土台として位置づけられているのがよく分かります。これまでは、セキュリティ対策というと現場の担当者が頑張るイメージが強かったけど、これからは経営陣が「うちの会社は、ビジネスとしてサイバーリスクをどう考え、どう向き合うのか」という方針を明確に示さないと始まらない、というメッセージが込められている気がして。私たちのようなまだ経験の浅い人間からすると、経営層が本気で向き合ってくれるのは、非常に心強いのです。

じゃあ、この「Govern」を実践する、具体的に何をすればいいの?話になりますよね

じゃあ、この「Govern」を実践するって、具体的に何をすればいいの?って話になりますよね。いきなり「フレームワークを導入します!」ってなると、特に中小企業ではハードルが高いと思うんです。であるため、まずは本当に小さな一歩からでいいんじゃないかなって。例えば、次回の役員会議のアジェンダに「もしサイバー攻撃でうちの主力事業が1週間止まったら、具体的にどんな影響が出て、いくら損失が出る?」という議題を10分でもいいから入れてみる。そして、その最悪の事態を避けるために、最低限どんな対策(人、モノ、カネ)が必要なのかを、みんなで話し合ってみる。これって、立派な「Govern」の第一歩だと思うんです。技術的な話は後からでよくて、まずはビジネスインパクトを経営の言葉で議論することが大事。そのための簡単なセルフチェックリストを作ってみました。

``` ## ビジネスとセキュリティを繋ぐための簡単セルフチェック

``` ## ビジネスとセキュリティを繋ぐための簡単セルフチェック

[ ] 会社の事業計画書の中に「サイバーセキュリティ」という言葉は登場しますか? [ ] 経営層は、...

[ ] 会社の事業計画書の中に「サイバーセキュリティ」という言葉は登場しますか? [ ] 経営層は、自社のビジネスにとって最も致命的なサイバーリスクを3つ即答できますか? [ ] 新しい事業やサービスを始める時、企画段階でセキュリティについて話し合う機会がありますか? [ ] セキュリティインシデントが発生した際の「事業継続計画(BCP)」は、経営層も内容を把握していますか? ``` もし「いいえ」が多ければ、そこが「Govern」を始めるチャンスかもしれません。

フレームワーク、それ自体が目的になるんじゃなくて、あくまで自分たちのビジネスを守るための道具でし...

フレームワークって、それ自体が目的になるんじゃなくて、あくまで自分たちのビジネスを守るための道具でしかないのです。CSF 2.0の「Govern」は、その道具を経営陣がちゃんと手に取って使いこなすための、非常に良いきっかけを与えてくれたように感じています。このサイトが、これからもこうした世界標準の考え方を、私たちの日々のビジネスにどう落とし込んでいけばいいのか、そのヒントを発信し続けてくれることを一人のファンとして、そしてチームの一員として、心から楽しみにしています。もっと勉強して、皆さんに役立つ視点を届けられるように頑張りますね!