NIST CSF自己診断

まずは10問のクイック診断。より正確に把握したければ+20問（Standard）、さらに深掘りなら+20問（Deep）へ拡張できます。スコアは5機能（識別・防御・検知・対応・復旧）で可視化。

評価スケール： 0=未着手 / 1=意図はあるが場当たり / 2=最低限の運用 / 3=定義され一貫運用 / 4=継続改善・定量測定

識別（Identify）

① 資産（デバイス/アプリ/データ）の棚卸しと分類が最新の状態で維持されている。

狙い：守るべき対象を明確化し、優先度をつける。

② 重要業務のビジネスプロセスと依存関係（委託・SaaS・クラウド）が可視化されている。

狙い：影響分析（BIA）と投資判断の前提。

防御（Protect）

③ ID・認証（MFA/特権管理）と端末のベースライン（パッチ/設定）が運用されている。

狙い：初期侵入と横展開の抑止。

④ メール/Web/USBなど入口対策と従業員セキュリティ教育が定常化している。

狙い：人的・技術的コントロールの両輪。

検知（Detect）

⑤ 侵入前提での監視（EDR/ログ/アラート整備）と誤検知のハンドリングが運用されている。

狙い：兆候の早期検知とMTTD短縮。

⑥ 重要SaaS/クラウドの監査ログ収集・相関分析（SIEM相当）ができている。

狙い：IDベース攻撃や権限濫用も検知。

対応（Respond）

⑦ インシデント対応手順（封じ込め/根絶/復旧）と役割分担が定義・訓練されている。

狙い：MTTR短縮、混乱回避。

⑧ 取引先・委託先・社内関係者への連絡/開示フローが整備されている。

狙い：サプライチェーン波及と法令対応の遅れを防止。

復旧（Recover）

⑨ 重要システム/データのバックアップ（オフライン/イミュータブル等）が整備・検証されている。

狙い：ランサム被害時の事業継続。

⑩ 復旧の優先順位（RTO/RPO）と演習結果を反映した改善が回っている。

狙い：“戻せる”を実務水準で担保。

識別（Identify）— Standard

ID3：データ分類（機密/社外秘/公開等）と取り扱い規程が文書化され、最新状態で運用されている。

狙い：データの重要度に応じた保護水準を具体化。

ID4：脆弱性管理（収集→識別→リスク評価→是正）が定義され、期限/SLAで追跡されている。

狙い：既知脆弱性の滞留を抑制。

ID5：新規SaaS/システム導入時のリスク評価（影響/ログ/権限/出口）が標準手順化され、シャドーITも抑止できている。

狙い：変化管理とリスクの早期吸収。

ID6：重要ベンダー/委託先の依存関係と責任分界（RACI）が可視化され、定期的に見直されている。

狙い：サプライチェーン由来の業務影響を把握。

防御（Protect）— Standard

PR3：特権アクセス（PAM/緊急ID/共有ID）に対する申請・承認・記録・期限付き付与が運用されている。

狙い：権限濫用と横展開の抑止。

PR4：端末構成基準（CIS等）準拠率を測定・是正でき、MDM/構成プロファイルで自動適用されている。

狙い：ベースライン逸脱の早期是正。

PR5：データ暗号化（保存/転送）と鍵管理（KMS/HSM/ローテ）が標準化され、例外は承認・記録されている。

狙い：データ窃取時の影響を限定。

PR6：メール/ブラウザ経由の攻撃に対し、隔離/CDR/ATP等の多層対策が適用され、効果をレビューしている。

狙い：最頻入口の実効性向上。

検知（Detect）— Standard

DE3：ふるまい/UEBA もしくは異常検知ルールを活用し、ID悪用や横展開の兆候を検出できる。

狙い：ルールベースを超えた兆候検知。

DE4：監視の網羅性（ID/SaaS/クラウド/ネットワーク/エンドポイント）にギャップがないか定期評価している。

狙い：死角の縮小。

DE5：検知メトリクス（MTTD等）とアラートSLA（一次対応/エスカ）を測定・改善している。

狙い：運用の持続性と品質担保。

DE6：外部の脅威インテリジェンス（IoC/手口）を取り込み、検知ロジックに反映している。

狙い：最新手口への追随。

対応（Respond）— Standard

RS3：重大度判定とエスカレーション基準（連絡先/応答時間/代行者）が定義され、随時更新されている。

狙い：混乱回避と初動の平準化。

RS4：デジタルフォレンジックの保全手順（証拠採取/チェーン・オブ・カストディ）とログ保持方針が運用されている。

狙い：原因究明/法的対応の品質確保。

RS5：ランサムウェア対応方針（交渉可否/支払方針/法執行機関連携）が明文化され、関係者が理解している。

狙い：判断の一貫性と法令順守。

RS6：机上演習/技術演習（レッドチーム等）を定期実施し、是正計画の進捗をトラッキングしている。

狙い：実戦力の継続強化。

復旧（Recover）— Standard

RC3：サービスごとの復旧ランブック（手順/自動化/ロールバック）が整備され、定期的に検証されている。

狙い：復旧の再現性と速度向上。

RC4：代替業務手順（手作業/暫定運用）が定義され、関係者に訓練されている。

狙い：完全復旧前の事業継続。

RC5：復旧KPI（RTO達成率/データ損失量等）が可視化され、改善サイクルに反映されている。

狙い：復旧品質の継続改善。

RC6：事後レビュー（Lessons Learned）が標準化され、BCP/手順/教育に反映・周知されている。

狙い：学びの制度化。

識別（Identify）— Deep

ID7：資産発見の自動化（ネットワーク/クラウド/エージェント）とCMDB同期が稼働している。

狙い：シャドー資産の継続的可視化。

ID8：リスク登録簿（Risk Register）が維持され、KRIs/オーナー/期日が紐づけられている。

狙い：経営と運用のリスク連携。

ID9：データ・ライフサイクル（生成→保存→共有→破棄）と保持/削除ルールが実装され、例外が管理されている。

狙い：過剰データのリスク低減。

ID10：適用法規/規格（個人情報/業法/輸出）と適合状況がマッピングされ、ギャップ解消計画が走っている。

狙い：規制対応の漏れ防止。

防御（Protect）— Deep

PR7：ゼロトラストの分割（ネットワーク/アイデンティティ/アプリ）とマイクロセグメントが運用中。

狙い：横展開の物理/論理的阻止。

PR8：構成のコード化（IaC/ポリシー・アズ・コード）やゴールデンイメージでドリフトを抑制している。

狙い：再現性と変更管理。

PR9：シークレット管理（Vault/KMS）とローテーション、自動失効が実装されている。

狙い：認証情報の漏えい影響を局所化。

PR10：第三者/保守ベンダーのアクセスに対し、条件付きアクセス・記録・セッション分離が適用されている。

狙い：外部委託リスクの実務統制。

検知（Detect）— Deep

DE7：スレットハンティングの定例化（仮説→クエリ→検証→是正）が運用され、学びがルール化されている。

狙い：未知の侵害の先取り。

DE8：ディセプション/ハニートークン等により、早期の横展開兆候を捕捉できる。

狙い：内部移動の可視化。

DE9：コントロールの継続監視（CCM）で設定逸脱や無効化を自動検出し、是正につなげている。

狙い：防御の実効性維持。

DE10：SOAR等の自動化で初動（隔離/ブロック/通知）を標準化し、効果測定をしている。

狙い：対応の速度と一貫性。

対応（Respond）— Deep

RS7：広報/法務/経営/CSIRTを含む危機コミュニケーション計画と定型テンプレがある。

狙い：対外対応の迅速・整合。

RS8：役員参加の卓上演習（危機意思決定/取引先調整）を定期実施している。

狙い：組織横断の即応力。

RS9：EDR/IDP等と連動した自動隔離/強制リセット/証拠保全の“ボタン一発”手順がある。

狙い：封じ込めの迅速化。

RS10：規制当局/個人情報保護/契約通知のタイムライン管理と提出物テンプレが整備されている。

狙い：期限遵守と法令順守。

復旧（Recover）— Deep

RC7：3-2-1-1-0等のバックアップ方針（異媒体/隔離/検証）とイミュータブル保持が実装済み。

狙い：復元可能性の最大化。

RC8：クロスリージョン/データセンターのフェイルオーバー演習を定期実施している。

狙い：大規模障害への備え。

RC9：サイバー保険の条件（通知/証跡/免責）と請求プロセスを事前に確認・訓練している。

狙い：資金面の迅速確保。

RC10：ポストモーテムの是正項目がガバナンス（経営/監査）にトラックされ、完了検証されている。

狙い：改善の確実な定着。