DXとセキュリティをともに推進するポイント 第4回 海外と日本のセキュリティガイドラインの決定的な違いとは

画像提供：マイナビニュース

サイバーセキュリティ対策については、企業や組織が準拠すべき複数の基準やガイドラインがある。これらを規定している国は増えているが、その多くが米国のNIST サイバーセキュリティフレームワーク（以下、CSF）や SP800-171などを参考にしている。今回はこれら米国のガイドラインを紹介し、日本のガイドラインと対比してみたい。
多くの国が参考にする米国のセキュリティ対策の考え方

サイバーセキュリティにおける基準といえば、ISO/IEC 27000シリーズと、NIST CSFが広く認知されている。これら2つは位置付けが異なり、適した用途での使い分けが必要となる。
ISO/IEC 27000シリーズ

ISOはスイスに本部を持つ国際標準化機構であり、さまざまなものに対し世界標準を規定している。その内容は製品そのものを対象とする「モノ規格」と、組織の品質活動や環境活動を管理するための仕組み（マネジメントシステム）を対象とする「マネジメントシステム規格」に大きく分けることができる。

例えば、ISO 68はネジの規格を規定しており、ISO 9001は工場における品質、ISO 14000は環境のマネジメントシステムといった形だ。マネジメントシステムはPDCAサイクルを基本としている。

ISO 27001は情報セキュリティ管理システム（ISMS）の国際規格であり、組織がセキュリティリスクを管理し、保護するためのフレームワークを提供している。特徴としては「侵害そのものを防止すること」を最優先としており、予防的なセキュリティ対策に重点を置いている。インシデントの予防措置強化、ならびにPDCAによる管理体制作りに適しているフレームワークとなっている。
NIST CSF

一方、セキュリティ対策のより現実的な概念として日本でも定着してきているのがNIST（米国国立標準研究所）が定めるサイバーセキュリティフレームワーク（CSF）である。NIST CSFはもともと、重要インフラのサイバーセキュリティを向上させるためのフレームワークとして公開されたものであるが、その有効性からサイバーセキュリティの基本的な概念として活用されている。

その考え方は、識別、防御、検知、対応、復旧の5つで構成されており、「攻撃者に侵入されることを前提」としていることが特徴だ。侵害を前提として、そのインパクトを最小化するための方策を示すフレームワークとなっており、より実践的な内容である。