概要
National Institute of Standards and Technology (NIST)は、セキュリティ、企業リスク、および労働力管理を統合する新しいガイドラインを公開しました。このガイドラインは、組織がサイバーセキュリティの脅威に対応するために必要な人材計画と技術的なセキュリティ対策を組み合わせることで、従来孤立していたこれらの分野を連携させます。
背景
サイバーセキュリティの脆弱性は、企業全体のリスクに大きな影響を与え、事業継続性の問題やブランドイメージの損失、データ漏洩などの深刻な結果をもたらす可能性があります。NISTは、これらのリスクに対処するために、人材不足や技術的な能力不足が直接サイバーセキュリティリスクとなることを強調しています。
ガイドラインの内容
NISTの新しいガイドラインは、以下の3つの主要なフレームワークを統合することで、組織がこれらの分野を連携させることができます:
- Cybersecurity Framework (CSF) 2.0: 組織が現在と将来のリスクポジションを評価し、コミュニケーションするためのツール。
- NICE Framework: セキュリティ職種、タスク、知識、スキルに関する標準的な用語集。
- NIST IR 8286シリーズ: サイバーセキュリティ指標を企業全体のリスク管理に統合するための手法。
組織への適用方法
ガイドラインは、以下の5つのステップを通じて組織がこれらのフレームワークを活用できるように設計されています:
- スコープ設定: 高価値の資産と主要な利害関係者を特定します。
- リスク情報収集: 現在のセキュリティポジションと人材スキルセットに関する情報を収集します。
- プロファイル作成: 現在と将来のセキュリティ状況を可視化します。
- ギャップ分析: 現在と将来のポジション間のギャップを詳細に分析し、リスク登録簿を更新します。
- 戦略的アクションプラン作成: セキュリティ専門家と労働力管理者が協力して、具体的な人材対策を選択します。
ワークフォース介入戦略
ガイドラインは、組織がセキュリティギャップに対処するための以下の構造的な労働力反応を推奨しています:
- 従業員スキルアップ: メンターシップやインターンシップを通じて、既存の人材の技術能力を向上させます。
- 役割再構築: 新しい技術ポジションを作成または既存のチーム構造を再編成して、スタッフが新たな脅威に対応できるようにします。
- ターゲットリクルーティング: NICEフレームワークを使用して、脆弱性評価で特定された重要なスキルギャップを埋めます。
- 外部補強: 第三者ベンダーまたは外部コンサルタントとの契約を通じて、緊急のニーズに対応します。
継続的な管理と評価
これらのステップを実装した後、組織はセキュリティ対策を定期的に点検し、効果性を確認し、必要に応じて調整します。これにより、サイバーセキュリティリスクが継続的に低減され、企業のミッション目標と厳密に一致することが保証されます。