サイバーセキュリティフレームワーク｜情報処理安全確保支援士試験令和7年春期午前Ⅱ 問12

出典：令和7年春期午前Ⅱ 問12 分野：セキュリティ／情報セキュリティ管理

NIST"サイバーセキュリティフレームワーク（CSF）2.0"のコアには，機能が六つある。IDENTIFY，PROTECT，DETECT，RESPOND，RECOVERと，あと一つはどれか。

この問題を解く

解説

NISTサイバーセキュリティフレームワーク（CSF）は、組織がサイバー攻撃などのリスクにどう備え、どう対応するかを整理するためのガイドラインです。企業・官公庁・学校・病院など、組織の規模に関係なく使えます。

CSFは、簡単に言うと、セキュリティ対策を「何をすべきか」という観点で整理したものです。自社の対策が十分か、不足している部分はどこか、どの対策を優先すべきかを考えるために使います。

CSFは主に、次の3つの要素で構成されます。

特に重要な「コア」では、サイバーセキュリティ活動を6つの機能に分けています。

機能	説明
統治（Govern）	セキュリティに関する方針、責任、ルールを決め、組織全体で管理することです。
識別（Identify）	守るべき情報資産、システム、リスクを把握することです。
防御（Protect）	アクセス制御、教育、暗号化、バックアップなどにより、攻撃や被害を防ぐことです。
検知（Detect）	不審な通信や異常な動きを見つけることです。
対応（Respond）	インシデントが起きたときに、被害拡大を防ぎ、関係者へ連絡し、原因を調査することです。
復旧（Recover）	被害を受けたシステムや業務を元の状態に戻すことです。

まとめると、NIST CSFは、サイバーセキュリティ対策を「統治・識別・防御・検知・対応・復旧」の流れで整理し、自社の弱点や優先すべき対策を見つけるための枠組みです。

したがって、ウが適切です。

TSUNAGARU-ADVICE

NIST CSF 2.0では、従来の主要機能に加えて、サイバーセキュリティを組織全体で統治するGOVERNが明確に位置付けられています。

IDENTIFY、PROTECT、DETECT、RESPOND、RECOVERは、リスクの把握、防御、検知、対応、復旧の流れを表します。そこに加わるGOVERNは、方針、責任、リスク管理、意思決定を組織として整える機能と考えると判断しやすくなります。

科目Bでは、技術的な対策だけでなく、誰が責任を持ち、どの方針でサイバーリスクを管理するのかまで問われます。CSF 2.0のGOVERNは、個別対策の前提となる統治の機能として理解しておきましょう。

サイバーセキュリティフレームワーク｜情報処理安全確保支援士試験 令和7年春期午前Ⅱ 問12