情報セキュリティ関連規格の整理（成熟度評価関連の規格）

情報セキュリティ関連規格の分類（再掲）

当記事では、下表の「成熟度評価の規格」に分類される情報セキュリティ関連規格を説明します。

情報セキュリティ関連規格の分類

情報セキュリティの成熟度評価関連の規格とは？

サイバーセキュリティの分野は特に日進月歩のイタチごっこが続いており、自組織がどこまでの対応を行う必要があるかを常に考えなければいけません。そのような自社の評価を行うために使用するのが「成熟度評価関連の規格」であり、この規格を使用して自社のセキュリティ成熟度を評価するとともに何が不足しているかを認識することができます。
また、評価を第三者のコンサルティングファーム等に依頼して評価を行うと同業他社との比較を行うことも可能です。

Big4と呼ばれるコンサルティングファームはこの成熟度評価のサービスを提供していますが、（かかる工数から考えれば）安価な価格でサービスを受けることができます。多くのファームが赤字に近い形でこの評価を行うのは、成熟度評価の結果に基づき後続のコンサルを期待してのことであり、ある意味で営業ツールとしての側面も持っています。営業ツールとして使用していることもあり自社のサービスに関する部分の色が多少含んでいることを事前に理解しておく必要があります。
（自社でも実施可能ですが、おそらくコンサルに依頼した方が上記のような理由もあり工数から考えるとお得だと思います。他社比較も分かりますし）

NISTサイバーセキュリティフレームワーク(NIST CSF)

サイバーセキュリティ関連の成熟度評価においては、NISTサイバーセキュリティフレームワークが存在しており、この後に説明する「FFIEC CAT」および「サイバーセキュリティ経営ガイドライン」などもNISTを参照に作成しています。また、それぞれのコンサルティングファームが作成している成熟度評価のフレームワークもNISTベースで作成されています。NISTは、アメリカ政府の機関ですが、この業界ではやはりアメリカは強くいろいろなスタンダードを制定しており、各国のいろいろな基準もNISTのいろいろなガイドを参考にしたり、流用したりして作成されています。ちなみに、IPAがNIST関連の文章は日本語版を公開しているので中身は誰でも見ることができます。

https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000071204.pdf

NISTサイバーセキュリティフレームワークの中身ですが、５領域の合計108項目が存在しています。例えば

ID.AM-2
自組織内のソフトウェアプラットフォームとアプリケーションが、目録されている。

重要インフラのサイバーセキュリティを改善するためのフレームワークv1.1

のような項目108項目があり、次の4レベルで評価を行います。

Tier1：部分的である（Partial）
Teir2：リスク情報を活用している（Risk Informed）
Tier3：繰り返し適用可能である（Repeatable）
Tier4：適用している(Adaptive）

重要インフラのサイバーセキュリティを改善するためのフレームワークv1.1

NISTサイバーセキュリティフレームワークは、サイバーセキュリティ関連の成熟度評価を行う場合に一番筆頭になる規格です。多くの組織が同じ観点と同じ項目で評価していることもあり、他社比較も可能ですので自組織のサイバーセキュリティを評価する場合に良く使用されています。

NISTサイバーセキュリティフレームワーク2024年2月にバージョンアップされています。

Cybersecurity Framework

サイバーセキュリティ経営ガイドライン

日本の経済産業省が日本国内向けに作成しているガイドラインで経営層の関与が重要となる10項目を中心とした項目のガイドラインです。

サイバーセキュリティ経営ガイドラインと支援ツール（METI/経済産業省）

当該ガイドラインは、NISTサイバーセキュリティフレームワークをベースとして作成されており「付録A-2　サイバーセキュリティ重要１０項目に関するチェックシート」ではNISTサイバーセキュリティフレームワークの該当項目が紐付けされています。

NISTサイバーセキュリティフレームワークよりも項目数が少なく「サイバーセキュリティ経営可視化ツール」もあることからNISTサイバーセキュリティフレームワークよりは負荷が少なく評価することができます。
（”経営”とついているように全体のガバナンスに関する部分が中心でNISTサイバーセキュリティフレームワークよりも評価範囲は狭くなっています。）

FFIEC CAT

米国連邦金融機関検査協議会がNISTサイバーセキュリティフレームワークを金融機関向けにカスタマイズした内容で金融機関関連であれば、NISTサイバーセキュリティフレームワークよりも良いかもしれません。

FFIEC CATの特徴的な点としては、自組織の成熟度評価と合わせて自組織の置かれている脅威等を分析することで自組織が目指すべきレベルを合わせて評価できる点です。
（当然メガバンクが目指さないといけないレベルと小さな地銀が目指さないといけないレベルは違いますよね。。。）

ただ、当該フレームワークは2025年8月に廃止する発表がされております。いきなり当該フレームワークが使用できなくなることはありませんが、当該フレームワークがバージョンアップされることがなくなり業界での使用率が下がることから今後有用性は低下すると考えられます。

https://www.ffiec.gov/press/pdf/CAT_Sunset_Statement_FFIEC_Letterhead.pdf?_ga=2.79257236.1415782057.1727568423-1013493669.1727568423

CIS Controls

これもアメリカ政府関連の組織が策定している規格で、サイバーセキュリティ関連の成熟度評価を行う場合に使用する規格です。NISTサイバーセキュリティフレームワークは、サイバーセキュリティにおけるガバナンスや各種の仕組みを評価する規格であるのに対して、CIS Controlsはより技術的な対策を評価する規格となります。いくつか登録が必要ですが、下記から日本語版を入手可能です。

自組織の対策において、どのような技術的な対策が不足しているのか等を評価する場合に使用する規格です。

CIS Controls