企業のクラウド活用やデジタル化の進展に伴い、サイバー攻撃はあらゆる企業にとって深刻な脅威となっています。そのため、企業ではサイバーセキュリティリスクを包含した形での事業体リスクマネジメント(ERM)の実践が求められています。
2025年12月18日、NIST(米国立標準技術研究所)は「NIST IR 8286 Rev.1 サイバーセキュリティと事業体リスクマネジメントの統合(原題:NIST IR 8286 Rev.1 Integrating Cybersecurity and Enterprise Risk Management (ERM))」の改訂版を公開しました。2020年10月に初版が公開されて以来、約5年ぶりの改訂となり、本ブログでは、サイバーセキュリティリスクの経営層への報告手法に課題を抱えるセキュリティ担当者に向けて、 NIST IR 8286 Rev.1の概要について解説します。
NIST IR 8286は、サイバーセキュリティと事業体リスクマネジメントを統合するためのガイダンス文書です。事業体リスクマネジメント (以下、「ERM」) とは、企業の事業目標達成のために企業のあらゆるリスクを俯瞰的に把握・評価・最適化し、企業にもたらすリスクを最小化してリターンを最大化するアプローチです。日本では単に「ERM」や「統合型リスク管理」、「全社的リスク管理」と呼ばれる場合もあります。
この文書は本編と4つの補足文書(NIST IR 8286A~8286D)から構成されています(表1)。本編であるNIST IR 8286 Rev.1については2025年2月にドラフト版が発行され、幅広く意見募集・フィードバックを経た後、2025年12月18日に正式公開に至りました。
|
文書名 |
表題(和訳) |
文書の位置づけ |
|
NIST IR 8286 Rev.1 |
サイバーセキュリティと事業体リスクマネジメントの統合 |
統合に関する全体像(本編) |
|
NIST IR 8286A Rev. 1 |
事業体リスクマネジメントのためのサイバーセキュリティリスクの識別と評価 |
リスクの特定と影響度の分析に関する詳細 |
|
NIST IR 8286B |
事業体リスクマネジメントのためのサイバーセキュリティリスクの優先順位付け |
リスクの優先順位付けに関する詳細 |
|
NIST IR 8286C Rev. 1 |
事業体リスクマネジメントとガバナンスの監督のためのサイバーセキュリティリスクの段階的評価 |
ガバナンスとリスクマネジメント活動を適切にフィードバックするための監視・評価・調整に関する詳細 |
|
NIST IR 8286D |
ビジネスインパクト分析によるリスクの優先順位付けと対応策の策定 |
ビジネスインパクト分析に関する詳細 |
NIST IR 8286は、サイバーセキュリティ担当者がサイバーセキュリティリスクマネジメントの活動を通じて整理したサイバーセキュリティリスクを、ERMの有用なインプット情報として経営層に適切に報告できるようにするためのガイダンスを提供し、サイバーセキュリティ担当者と経営層のリスクコミュニケーションを改善することを目的としています。
一般的にERMでは事業ミッションやビジョンに沿う形で、戦略・業務・報告・コンプライアンス目標が関連付けられてリスクマネジメントが行われています。一方、サイバーセキュリティリスクマネジメントでは技術的な脅威(例:ランサムウェア攻撃、マルウェア感染 等)やシステム・現場組織を対象にリスクマネジメントが行われており、リスク情報の質にギャップがあります(図1)。結果としてサイバーセキュリティ担当者がサイバーセキュリティリスクを経営層へ伝達していく過程で、サイバーセキュリティリスクの緊急性が正しく伝わらない、リスクを正確に認識できず、適切な意思決定ができないといった課題が発生します。
この課題を改善するため、NIST IR 8286では企業の階層構造を「事業体レベル・組織レベル・システムレベル」の3層に定義し、システムや組織レベルのサイバーセキュリティリスクマネジメントの結果を、事業体レベルのリスクとして適切に橋渡しすることで、経営層とのリスクコミュニケーション上の課題改善に寄与します。なお、日本ではNIST IR 8286の目的に類する文書として経済産業省とIPA(情報処理推進機構)が共同で策定した「サイバーセキュリティ経営ガイドライン[i]」があります。
改訂されたNIST IR 8286 Rev.1では、主に以下2点の変更が盛り込まれています。
サイバーセキュリティ対策の国際的かつ代表的なフレームワークであるNIST Cybersecurity Framework (CSF) 2.0[ii]への対応が盛り込まれています。NIST CSF 2.0で示された内容と整合するよう、NIST IR 8286 Rev.1の更新が行われています。
情報通信技術(ICT)リスクとERMを統合するためのフレームワークを提供するNIST SP 800-221A[iii]との関連性、ならびに前述した補足文書(NIST IR 8286A~8286D)間の参照整合性が向上しています。
NIST IR 8286ではERMのプロセスを6つのステップからなるリスクマネジメントライフサイクルとして説明しています(図2)。
図2のプロセスの中で、中心的な役割を果たすのがサイバーセキュリティリスクレジスタ(以下、CSRR)です。
リスクレジスタは、特定されたリスクに関する情報を一元的に記録する登録簿のことで、ERMではリスク分野毎(例:財務、法務、業務、サプライチェーン 等)にリスクレジスタを作成します。CSRRはサイバーセキュリティリスクに関する情報を一元的に記録するリスクレジスタで、NIST IR 8286では以下のような項目テンプレートを提供しています (表2)。CSRRはシステム毎に作成され、登録するリスクはネガティブリスク(脅威)だけでなく、事業上プラスとなるポジティブリスク(機会)も記録していきます。なお、新規にCSRRを含むリスクマネジメント報告プログラムを構築する場合、全てのCSRRの完成を待つ必要はありません。ただし、最終的にはCSRRが事業体リスクを伝達するための標準的な手段となることが望まれます。
|
項目 |
記載項目の主な内容 |
記載例 |
|
ID(リスク識別子) |
一意に識別可能な番号 |
CSRR-XXXX-0001 |
|
優先度 |
序数、スケール(高/中/低) |
中 |
|
リスクディスクリプション |
組織および事業体に影響を及ぼすサイバーセキュリティリスクシナリオの概要 |
外部攻撃者がランサムウェア攻撃を展開し、A事業の受発注システムが利用停止する |
|
リスクカテゴリー |
・リスクレジスタ集約時の分類軸 ・共通の分類軸(例:NIST SP 800-53の管理ファミリー 等)を用いて分類すると集約時の比較が行いやすい |
システムおよび情報の完全性 |
|
発生確率 |
・評価時点でのリスクの発生確率 ・定性(高/中/低)、定量(0~1)で評価 |
低 |
|
影響度 |
・リスク対応を行わない場合にリスクシナリオから生じる影響 ・定性(大/中/小)、定量(0~1)で評価 |
大 |
|
エクスポージャ(リスクレベル) |
・発生確率×影響度の組合せ ・定性(高/中/低)、定量(0~1)で評価 |
中 |
|
リスク対応の種類 |
・ネガティブリスク:受容/移転/緩和/回避 ・ポジティブリスク:活用/共有/強化/受容 |
緩和 |
|
リスク対応コスト |
管理策にかかる概算コスト |
1,500万円 |
|
リスク対応の説明 |
管理策の概要 |
・バックアップ計画の改善 【NIST SP800-53管理策】 CP-9(システムバックアップ) 【NIST CSF2.0機能・カテゴリー】 PR.DS(防御 - データセキュリティ) |
|
リスクオーナー |
事業要件に従い、当該リスクを管理するリスクオーナー(システム部門ではなく、事業部門がリスクオーナー) |
A事業部長 〇〇
|
|
ステータス |
現在の進捗状況(未着手/進行中/完了) |
進行中 |
システムレベルでCSRRを作成した後、次のような手順でERMに統合していきます(図3)。
①システムレベル:システム担当者がシステム毎のCSRRを作成します。
②組織レベル:システムレベルで作成した複数のCSRRの結果を集約し、さらに項目や評価基準を正規化して、組織レベルのCSRRを作成します。
③事業体レベル:組織レベルのCSRRを同様に集約・正規化し、事業体レベルのCSRRを作成します。このCSRRをERMプログラムのインプット情報として整理します。
④事業体リスクレジスタ(ERR):事業体レベルのCSRRをさらに集約・正規化し、企業全体のリスクを一覧化した事業体リスクレジスタを作成します(※詳細は後述「【参考】サイバーセキュリティリスクをERMへ統合するポイント」を参照)。
⑤事業体リスクプロファイル(ERP):企業の事業目標とERRに含まれるリスクを照らし合わせて優先順位付けを行い、経営層向けの事業体リスクプロファイルを作成します。
図3に示す通り、下位レベルで作成したCSRRを最終的に事業体リスクレジスタ(ERR)および事業体リスクプロファイル(ERP)へ統合していきます。統合にあたり、重要な概念が集約と正規化のプロセスです。集約とは、分散して存在する複数のCSRRを類似したリスクカテゴリー毎にまとめることです。企業によってはシステムや組織が非常に多く、膨大な数のCSRRを手作業で統合するのは現実的ではありません。そのため、NIST IR 8286ではこうした集約の自動化を推奨しており、GRCツール[vii]の活用によってリスク統合作業を効率化することを提案しています。
正規化とは、システムや組織毎でバラバラであるリスク情報の定義や値を統一することです。例えば、同じ意味を指す列名がシステムや組織で異なる場合は名称を統一する(例:「顕在率」や「発生確率」などの類似指標は「発生確率」に統一)、定性評価、定量評価の評価軸も企業全体で統一することです。
この集約と正規化のプロセスを各階層で繰返し実施し、最終的にERRおよびERPへ統合していきます。これにより、サイバーセキュリティリスクは経営層が認識できる事業体レベルのリスクへと変換され、経営層による適切な意思決定の促進に寄与します。
サイバーセキュリティリスクをERMへ統合するためには、リスクを技術用語から企業の事業目標に関連付ける必要があります。これにより、経営層はリスクをビジネスの文脈で理解できるようになります。具体的にはCSRRからERM(ERRおよびERP)へ統合する際、NIST IR 8286ではリスクプロファイルを以下4つの目標カテゴリーにて構成する例を提示しています。
・戦略:新サービス導入、合併・買収に影響を与える可能性のあるリスク
・業務:ランサムウェア被害などの事業継続性/災害復旧に関するリスク
・報告:会計システム、財務管理システムの可用性、整合性、機密性に関するリスク
・コンプライアンス:サービス契約の不履行、規制上のリスク
CSRR作成時にNIST SP 800-53の管理策ファミリーをリスクカテゴリーとして使用している場合、これらの管理策ファミリーと上記4つのカテゴリーとの対応関係をあらかじめ定めておくとERMへの統合が円滑になります。参考までに、表2で示したCSRRの内容を想定上の企業のERRへ集約した場合の例を表3に示します。
|
項目 |
記載項目の主な内容 |
記載例 |
|
ID(リスク識別子) |
表2と同上 |
1 |
|
優先度 |
表2と同上 |
高 |
|
リスクディスクリプション |
表2と同上 |
A事業の受発注システムがランサムウェアに感染し、受発注が停止 |
|
リスクカテゴリー |
事業体レベルで類似のリスクタイプを評価し、下位レベルのリスクレジスタの情報を統合する場合の分類体系 |
業務 |
|
財務への影響 |
・シナリオから生じる財務への影響 ・定性(高/中/低)、定量で評価 |
中 |
|
評判への影響 |
シナリオから生じる企業への評判(レピュテーション)に及ぼす影響 |
中 |
|
ミッションへの影響 |
・シナリオが事業体のミッションへの影響(例:株主価値、株価変動 等)に及ぼす影響 |
高 |
|
影響度 |
表2と同上 |
大 |
|
発生確率 |
表2と同上 |
低 |
|
エクスポージャ |
表2と同上 |
中 |
|
リスク対応 |
リスク対応戦略の概要 |
CIOおよびCISOの推奨に基づき、バックアップ計画の策定と目標復旧時間内(24時間以内)での復旧達成のため、策定した対応計画に沿った復旧訓練を実施 |
|
リスクオーナー |
表2と同上 |
A事業本部長 〇〇
|
|
ステータス |
表2と同上 |
進行中 |
本ブログでは、NIST IR8286 Rev.1の概要や主な変更点、サイバーセキュリティリスクをERMへ統合する流れについて紹介・解説しました。
NIST IR8286が企業におけるサイバーセキュリティリスクマネジメントに関するリスクコミュニケーションの改善の一助となれば幸いです。
NRIセキュアでは、数多くのコンサルティングの実績とそこで培った経験やノウハウを活かし、サイバーセキュリティ経営ガイドライン対応支援サービスを含む各種リスクアセスメントサービスを提供しています。また、昨今は侵入前提のサイバーレジリエンスの考え方も重要視されており、当社ではサイバーレジリエンス総合支援サービスも提供しています。
各サービスの詳細は下記リンクからお問い合わせください
サイバーセキュリティ経営ガイドライン対応支援サービス
サイバーレジリエンス総合支援
[i]サイバーセキュリティ経営ガイドライン Ver3.0|6年ぶりの改訂、どこが変わった?
https://www.nri-secure.co.jp/blog/cybersecurity-management-guidelines-3.0
[ii] NIST サイバーセキュリティフレームワーク 2.0を解説|約10年ぶりの大幅改訂、押さえるべき要点とは?
https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework-2.0
[iii]NIST SP 800-221A – Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio
https://csrc.nist.gov/pubs/sp/800/221/a/fina
[iv]NIST IR 8286 rev.1 – Integrating Cybersecurity and Enterprise Risk Management (ERM) p.8を基に弊社にて一部内容を加筆して作成
[v]NIST IR 8286 rev.1 – Integrating Cybersecurity and Enterprise Risk Management (ERM) p.12、p.64を基に弊社にて一部内容を加筆して作成
[vi]NIST IR 8286 rev.1 – Integrating Cybersecurity and Enterprise Risk Management (ERM) p.40を基に弊社にて一部内容を加筆して作成
[vii]GRCツール:
ガバナンス(Governance)、リスクマネジメント(Risk management)、コンプライアンス(Compliance)に関する管理を効率化するツール。当社でも関連サービスとしてSecure SketCHを提供しています。
https://www.nri-secure.co.jp/service/solution/secure-sketch
[viii]NIST IR 8286 rev.1 – Integrating Cybersecurity and Enterprise Risk Management (ERM) p.43、p.65~p.68を基に弊社にて一部内容を加筆して作成