ホーム > 情報処理安全確保支援士試験 > 2025年 春期
情報処理安全確保支援士試験 2025年 春期 午前2 問12
NIST “サイバーセキュリティフレームワーク (CSF) 2.0” のコアには、機能が六つある。IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER と、あと一つはどれか。
ア:CONTROL
イ:DIRECT
ウ:GOVERN(正解)
エ:MANAGE
解説
NIST “サイバーセキュリティフレームワーク (CSF) 2.0” のコア機能 六つのうちの一つはどれか【午前2 解説】
要点まとめ
- 結論:NIST CSF 2.0のコア機能は「IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER」に加え、GOVERNが正解です。
- 根拠:CSF 2.0ではガバナンス(GOVERN)を明確に位置づけ、組織のセキュリティ管理体制の強化を図っています。
- 差がつくポイント:従来の5機能に加え、ガバナンスの重要性を理解し、CONTROLやMANAGEなど類似語と区別できることが合格の鍵です。
正解の理由
NIST CSF 2.0のコア機能は、組織のサイバーセキュリティ対策を体系的に管理するために設計されています。IDENTIFY(識別)、PROTECT(防御)、DETECT(検知)、RESPOND(対応)、RECOVER(回復)に加え、組織の方針やリスク管理を統括する「GOVERN(ガバナンス)」が新たに明示されました。GOVERNは、セキュリティ戦略の策定や役割分担、コンプライアンス遵守を含む管理的側面を担い、全体の枠組みを支える重要な機能です。
よくある誤解
CONTROLやMANAGEは管理を意味しますが、NIST CSFの正式なコア機能には含まれません。DIRECTも指示や指導を意味しますが、用語としては使われていません。
解法ステップ
- NIST CSFの基本構成を確認する(IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER)。
- CSF 2.0で追加された機能を把握する。
- 選択肢の意味を整理し、NIST公式文書にある用語と照合する。
- 「GOVERN」がガバナンスとして正解であることを確認する。
- 他の選択肢と混同しないよう注意する。
選択肢別の誤答解説
- ア: CONTROL
「制御」を意味しますが、CSFのコア機能には含まれていません。管理的な意味合いはありますが、用語としては不適切です。 - イ: DIRECT
「指示・指導」を意味しますが、CSFの機能名にはありません。 - ウ: GOVERN
正解です。ガバナンスとして、組織のセキュリティ管理体制を統括する重要な機能です。 - エ: MANAGE
「管理」を意味しますが、CSFの正式なコア機能名ではありません。
補足コラム
NIST CSFは米国国立標準技術研究所が策定したサイバーセキュリティのフレームワークで、組織のリスク管理を体系化するために広く採用されています。CSF 2.0では、従来の5つの機能に加え、ガバナンスの明確化により、組織全体のセキュリティ戦略と運用の連携が強化されました。これにより、単なる技術的対策だけでなく、経営層の関与や方針策定も重視されています。
FAQ
Q: NIST CSFの「GOVERN」はどのような役割ですか?
A: 組織のセキュリティ方針やリスク管理体制の策定・監督を行い、全体のガバナンスを担います。
A: 組織のセキュリティ方針やリスク管理体制の策定・監督を行い、全体のガバナンスを担います。
Q: CSF 2.0で新たに追加された機能は何ですか?
A: 「GOVERN」が新たに明示され、ガバナンスの重要性が強調されました。
A: 「GOVERN」が新たに明示され、ガバナンスの重要性が強調されました。
Q: CONTROLやMANAGEはCSFのコア機能に含まれますか?
A: いいえ。これらは類似語ですが、正式なコア機能名ではありません。
A: いいえ。これらは類似語ですが、正式なコア機能名ではありません。
関連キーワード: NIST CSF, サイバーセキュリティフレームワーク, ガバナンス, IDENTIFY, PROTECT, DETECT, RESPOND, RECOVER