NISTフレームワークで理解するセキュリティ・ライフサイクル（基礎編）

公開日：2025年10月　カテゴリ：情報セキュリティ基礎

「どこから手を付ければいいの？」に答える地図がNISTサイバーセキュリティ・フレームワーク（NIST CSF）です。最新のCSF 2.0では、取り組み全体を統括する Govern（統治）が追加され、Identify（識別）、Protect（防御）、Detect（検知）、Respond（対応）、Recover（復旧）と合わせて6つの機能でライフサイクルを構成します。 本記事では、専門用語をできるだけ噛み砕き、「何を目指し、どう繋がるのか」を俯瞰します。

なぜ「ライフサイクル」なのか

セキュリティは一回導入して終わりではありません。脅威、IT環境、事業の優先度は常に変わります。 方針を決める → 守る → 見張る → 事故に対処する → 復旧して学ぶを継続的に回し、学びを次のサイクルに反映させる――これがライフサイクルの発想です。

CSFの6機能：鳥瞰図

• Govern（統治）：経営の関与、方針、役割、リスク許容度、法令・契約の順守枠組みを定める。全体の「舵取り」。
• Identify（識別）：資産（人・端末・サーバ・SaaS・データ）や業務プロセス、脅威・脆弱性、サプライヤーの把握。守る対象とリスクを見える化。
• Protect（防御）：アクセス管理、MFA、端末保護、パッチ、教育、データ保護など、被害の発生・拡大を抑える日常運用。
• Detect（検知）：ログ収集・監視・アラートの整備。異常の早期気づきが被害規模を決める。
• Respond（対応）：インシデント対応計画、役割分担、連絡手順、証跡保全、外部通報。混乱を抑え、二次被害を止める。
• Recover（復旧）：バックアップからの復旧、代替手段、経営・顧客への説明、再発防止。事業継続の回復と信頼の再構築。

6機能はどう繋がる？（ミニシナリオで理解）

例：重要な設計データを扱うクラウドストレージがビジネスの中心だとします。

1. Governで「設計データは事業継続の要、漏えい許容度はゼロ」と定義、役割・責任と通報基準を決定。
2. Identifyで設計データの保存場所・共有範囲・アクセス権を棚卸し、外部委託先の関与を把握。
3. ProtectでMFA必須化、権限の最小化、端末のEDR導入、パッチ自動化、暗号化、教育を実施。
4. Detectでアクセスログ、異常ダウンロード、深夜大量操作などをアラート化。
5. Respondで「外部流出の兆候」を検知したら、権限の即時無効化、原因端末の隔離、顧客・監督官庁への判断と通報手順。
6. Recoverで版管理とバックアップから最短復旧、影響範囲の説明、原因分析をポリシーへ反映。

CSFの「プロファイル」と「リスク許容度」

CSFは「理想の状態（Target Profile）」と「現在の状態（Current Profile）」のギャップを明確にします。 全てを最高水準にするのではなく、事業の重要度とリスク許容度に応じて狙い所を決めるのがコツです。 たとえば、ECサイトを持たない製造業なら「支払い情報の保護」よりも「設計データの保護」と「工場の稼働継続」を厚くする、など。

よくあるつまずき

• 道具から入ってしまう：ツール導入が目的化。まずはGovern/Identifyで「何を守るのか」を定義。
• Protect偏重：導入はしたが、Detect/Respondが弱く、異常に気づけない・止められない。
• 復旧手順の未検証：バックアップはあるが、復元テスト未実施で本番で動かない。
• 人と契約の盲点：外部委託の役割・責任・SLAが曖昧だと、いざという時に止血できない。

基礎編のまとめ

CSFは「網羅チェック表」ではなく、経営・現場・ITが同じ地図を共有するための共通言語です。 次の実践編では、この地図を中小企業が現実に歩くための「作業指示レベル」まで落とし込みます。

その他SNSでも
様々な情報をお届けしていますので
ぜひチェックしてください！↓