米国立標準技術研究所(NIST:National Institute of Standards and Technology)は2月12日(現地時間)、「Cybersecurity Framework Version 1.0」を公開した。主要セクター向けのサイバーセキュリティ対策の指針となるものだが強制力はなく、企業は自主的に実装するかどうかを選択できる。
Cybersecurity Frameworkは、米大統領Barack Obama氏の「重要なインフラのサイバーセキュリティを改善する」とする大統領令として、1年前から進められてきたもの。NISTは商務省下の技術部門となる。
フレームワーク開発には業界関係者や識者も関与しており、フレームワークのコア、層(ティア)、プロファイルの3つの要素を含む。コアはさらに、「識別」「保護」「検出」「対応」「復旧」の5つの機能を含む。層ではフレームワークが設定するゴールを満たすにあたってサイバーセキュリティリスク管理の範囲を定めるもので、プロファイルはセキュリティ対策を高度化するのを支援するという。
これを利用して、企業、顧客、規制当局が包括的にサイバーセキュリティプログラムを改善したり、評価したり、開発するのに利用できるもの。産業としては、食品・農業、エネルギー、運輸などを基幹として想定しているが、実装するかどうかは義務ではなく、政府が期待しているほどの効果がでるかどうかは未知数だ。
