NISTフレームワークを“運用”に落とす:中小企業向け実践編
公開日:2025年10月 カテゴリ:情報セキュリティ基礎
本記事は、NIST CSF 2.0の6機能(Govern/Identify/Protect/Detect/Respond/Recover)を、30〜300名規模の組織で実際に実装・運用できるレベルに分解します。
「今ある体制にどう足すか」「明日から何を始めるか」に焦点を当てます。
前提:3つの原則
- 最小実装から始める:完璧を狙わず、90日で回る最小構成を作りPDCAを回す。
- 責任と証跡:役割(RACI)と記録(ログ/議事/変更履歴)を残す。人が変わっても継続。
- 外部を賢く使う:監視・教育・診断は外部サービスやMSSPを組み合わせ、社内は判断と優先度に集中。
Govern(統治):方針と役割・意思決定を固定化
90日プラン(最小)
- 経営承認:年1回のセキュリティ方針(1ページ)を承認。「目的・範囲・優先資産・リスク許容度・責任者」を明記。
- 役割設計:RACI(Responsible/Accountable/Consulted/Informed)で、CSF6機能ごとに担当を1名ずつ指名。
- 委託管理:重要委託先リスト(IT保守、クラウド、物流等)を作成し、契約に「事故時の連絡・協力義務」「SLA/告知期限」を追記。
成果物テンプレ
- セキュリティ方針(1枚)/年次承認ログ
- RACI表(GoogleスプレッドシートでOK)
- 重要委託先台帳+契約のセキュリティ条項
Identify(識別):見える化が防御の出発点
90日プラン(最小)
- 資産棚卸し:端末(PC/モバイル)、サーバ、SaaS、ネットワーク機器、ドメイン、証明書、重要データの所在を台帳化。
- 重要度ラベル:データとシステムに「高・中・低」を付与(例:設計データ=高/社内掲示=低)。
- リスク登録:重大リスクを10件までに絞り、発生確率×影響で優先度順位を付ける。
実務ヒント
- SSO/IdP(Microsoft Entra ID / Google Workspace)からアプリ一覧を抽出し台帳の初版に。
- クラウドはタグ(Project/Owner/DataClass)を必須化して自動集計できる形に。
Protect(防御):日常運用に落とす“守りの作法”
90日プラン(最小)
- MFAの全面適用:管理者・VPN・リモート・SaaS(メール/ストレージ/会計)のMFAを必須化。
- 端末標準化:EDR(クラウド型可)、ディスク暗号化、スクリーンロック、USB制御を標準プロファイル化。
- パッチ自動化:OS/ブラウザ/主要ソフトは自動。月1の「適用率レポート」をRACIに報告。
- 権限の最小化:管理者権限の常時付与を廃止。昇格は申請制・時限式。
- 教育:四半期ごとに15分のマイクロ研修+疑似フィッシング。参加率/失敗率を指標化。
設定の要点
- IdPの条件付きアクセスで「国外IP/匿名プロキシ/旧式プロトコル」をブロック。
- 共有リンクは既定で社内限定、外部共有は時間制限+パスワード必須。
Detect(検知):“見張る仕組み”は軽量でもいい、欠かさない
90日プラン(最小)
- ログの集約先を1つ決める(M365/Google、クラウドWAF、VPN、EDRの最小セット)。
- 重要アラート3本:管理者の深夜ログイン、MFA失敗の連続、大量ダウンロードを通知(メール/チャット)。
- 週次レビュー:RACIのDetect担当がダッシュボードを10分だけ確認、異常有無を残す。
発展
- MSSPや監視サービスに委託し、24/365監視と一次対応を外部化。
- EDRの自動隔離ルールを有効にし、初動を数分以内へ。
Respond(対応):停める/知らせる/残す
インシデント対応計画(最小8項目)
- 定義:何を「インシデント」と呼ぶか。重大度(High/Medium/Low)の基準。
- 初動:隔離手順(端末/アカウントの無効化、ネットワーク遮断)、証跡保全。
- 連絡:社内ESG/法務/PRの呼び出し順。委託先・顧客・監督当局の連絡窓口一覧。
- 判断:公開/通報/支払い(しない)等の意思決定者。
- 技術手順:マルウェア駆除、IOC(侵害指標)のブロック、パスワードリセット。
- コミュニケーション:社内告知テンプレ/顧客向けQ&A雛形。
- 記録:タイムライン、ログ、証跡、判断経緯。
- 訓練:年1回のテーブルトップ演習(2時間)。
運用ヒント
- チャットの#incidentチャンネルを常設。通話・記録・ファイルを一箇所に。
- 重要連絡先をスマホの連絡先にも登録(停電時想定)。
Recover(復旧):RTO/RPO、テスト、説明
90日プラン(最小)
- RTO/RPO定義:重要システムごとに「何時間で復旧」「どこまで巻き戻す」かを数値化。
- 3-2-1バックアップ:3世代・2媒体・1つはオフライン/別クラウド。毎月1回は復元テスト。
- 復旧ランブック:SaaS/オンプレ/クラウドそれぞれの復旧手順(権限者・順番・検証項目)をA4で。
顧客・社外説明
- 影響範囲、再発防止、提供価値の回復時期を具体的に。事実と時系列を重視。
指標(メトリクス):継続改善の「ものさし」
- Patch適用率(月次90%以上)
- MFA適用率(100%)
- 検知から隔離までの時間(中央値15分→5分)
- バックアップ復元成功率(100%)/テスト頻度(月1)
- 疑似フィッシング失敗率(初回10%→6か月で3%台)
90日ロードマップ(サマリ)
- 週1:方針承認、RACI確定、資産台帳初版、MFA展開計画。
- 週2–4:端末標準化(EDR/暗号化)、重要委託先条項整備、ログ集約。
- 週5–8:重要アラート3本、疑似フィッシング#1、パッチ適用率の可視化。
- 週9–12:インシデント計画の雛形完成、復旧テスト、テーブルトップ演習。
仕上げ:NIST CSF 自己診断(10問)で現在地を可視化
この記事で触れた要点をベースに、10問のチェックリストでスコアを算出します。結果画面から課題別の改善ヒントへ進めます。
自己診断を始める(たったの2分で無料で完了)
※結果はブラウザ内で処理され、サーバ送信は行いません。
その他SNSでも
様々な情報をお届けしていますので
ぜひチェックしてください!↓
