サイバーセキュリティを取り巻く環境は年々複雑化・高度化しています。企業においても全社的なセキュリティ体制の整備が求められる中、広く活用されているのが「NISTサイバーセキュリティフレームワーク(NIST CSF)」です。
本記事では、TCSが支援する、“限られたリソースでも成果を出す”KPIを活用したNIST CSFの運用方法をご紹介します。
目次
NIST CSF 2.0とは?:サイバーセキュリティの理想と現実
NIST CSFは、企業がサイバーセキュリティ対策を体系的に進めるためのフレームワークです。2024年に発表されたバージョン2.0では、従来の5機能である「Identify(ID)」「Protect(PR)」「Detect(DE)」「Respond(RS)」「Recover(RC)」に加え新たに「Govern(GV)」が追加され、全体で106のサブカテゴリが定義されました。
NIST CSF 2.0を導入すれば、自社のセキュリティ体制を網羅的に分析できます。しかし、すべての項目を同時に実装・維持することは現実的ではありません。リソースが限られる企業にとっては、106のサブカテゴリのうちの「どこから着手すべきか」を判断すること自体が大きなハードルとなります。
セキュリティ強化のために:現実的な目標設定とKPI設計による段階的実行
セキュリティ強化を進めるには、まず、「限られたリソースでどこまでを目指すか?」という問いに、明確に答える必要があります。そのためには、自社のビジネスモデルやリスクプロファイル、社内体制を踏まえて、「いつ」「何を」「どこまで」対応すべきかといった「現実的な目標(≠理想)」の再設定が不可欠です。
この目標を単なる理念やスローガンで終わらせず、具体的なアクションに結びつけるためには、KPI(重要業績評価指標)の活用が有効です。
KPIは施策の進捗を定量的に把握するための指標です。組織内の合意形成や説明責任を明確化するだけでなく、継続的な改善活動の起点にもなります。KPIの活用で、セキュリティ活動を“見える化”し、行動につなげていくことができるのです。
TCSのアプローチ:独自の優先度評価表を活用
TCSでは、NIST CSF 2.0のフレームワークをKPI設計と連動させるアプローチを展開しています。本来、NIST CSFは「何をすべきか」を示した指針であり、KPIとの直接的な連動は想定されていません。TCSはNIST CSFのサブカテゴリを目標管理の基点として捉え直し、施策の進捗をKPIで定量評価する仕組みを支援しています。
すでに触れたように、限られたリソースを有効に使うためには「どこから着手すべきか」の見極めが欠かせません。
この課題を解決するのが、TCSが独自に設計した優先度評価表です。実効性や重要性の観点から、NIST CSF 2.0における各サブカテゴリの実装優先度を可視化します。
優先度を明確にすることで、短期で着手すべき項目と、中長期で取り組むべき項目が整理され、施策をリソースに見合った実行計画に落とし込むことができます。
事例紹介:インベントリ管理におけるKPI設計の活用例
たとえば、NIST CSF2.0のサブカテゴリ「ID.AM-02(情報資産のインベントリ維持管理)」では、「すべての情報資産が把握され、最新状態で管理されていることが理想」とされています。
この項目をもとに自社の現状を評価した結果、以下のような課題が明らかになったとしましょう。
- インベントリ情報が新規機器を追加したときにだけ更新されていて、定期的な見直しや整備がされていない
- 仮想マシンやコンテナ技術などの仮想化資産が管理対象から漏れている
このような状況では、情報資産の全体像を正しく把握することは難しいです。リスク評価や保護対策の適切な実施にも影響が出かねません。
そこで、現実的な目標として「インベントリ情報の網羅性と更新性を高める」ことを設定します。追加リソースの投入が難しい状況でも実行可能なKPIとしては、以下のような指標が有効です。
- 仮想化プラットフォームを含む情報資産のインベントリ網羅率:100%
- 年に1回以上の全社的な棚卸の実施率:100%
このように実行可能なKPIを設定することで、
- 対策の進捗や成果が定量的に把握できる
- 担当者間での認識合わせや、改善の起点となる
- 経営層への説明・報告がしやすくなる
といった効果が得られ、目標達成に向けた取り組みを着実に前進させることができます。
TCSの支援の特長:判断と実行のギャップを埋める仕組みを提供
NIST CSFの導入における最大の障壁である「限りあるリソースでどこまで目指せばよいか分からない」「優先順位をつけられない」という悩みに対し、TCSでは以下のような実践的支援を行っています。
- セキュリティフレームワークに基づいた現状評価と、3年後を見据えた目標水準の設計
- 独自の優先度評価表でサブカテゴリ106項目の優先度を評価し、可視化
- 情報資産の重要度を分類するクラウンジュエル分析で重点領域を特定
- 目標と連動するKPIを具体的に設計し、その設計の妥当性を検証
- モニタリング計画の立案と運用体制の構築を支援
これらの支援により、NIST CSF 2.0のフレームワークを “業務現場で使える”セキュリティ管理の仕組みとして機能させることができます。
まとめ:KPIを通じて理想と現実をつなげる
NIST CSF 2.0は包括的なフレームワークだからこそ、運用にあたっては優先度の整理と実行可能性の見極めが欠かせません。TCSは、「現実的な目標設定」と「KPI」という“行動のものさし”で理想と現実をつなげ、成果の見えるセキュリティマネジメントを支援します。
今後も、フレームワークの「活用」に焦点を当てた実践的な支援で、お客さまの継続的なサイバーセキュリティ強化を後押ししてまいります。
関連情報
お問合せ
お問合せ