CSF 2.0 Manufacturing Profile概説

2025年9月にNIST（National Institute of Standards and Technology、米国立標準技術研究所）より製造業（OT／ICS）および関連ステークホルダーを対象とした、サイバーセキュリティフレームワーク（CSF）2.0のコミュニティプロファイルであるManufacturing ProfileのIPD（Initial Public Draft、初期公開ドラフト）が公開され、業界関係者への意見募集（パブリックコメント）が行われました。本稿では、Manufacturing ProfileのIPD版の概要およびCSF 2.0との違いを解説する他、製品セキュリティ領域における規制やガイドラインなどとの関係性について考察します。

1. CSF 2.0概要

NIST CSF 2.0は、あらゆる規模・分野の組織がサイバーセキュリティリスクを理解・評価・優先順位付け・コミュニケーションするための「成果（アウトカム）」の分類体系です。コアは6つの機能（ガバナンス［GV］、識別［ID］、防御［PR］、検知［DE］、対応［RS］、復旧［RC］）で構成され、各機能はカテゴリー、サブカテゴリーに分解されます。CSFは達成すべき成果を提示する一方で具体的手段は規定しておらず、オンラインの参考情報（Informative References）や実装例、クイックスタートガイドなどで補完されます。さらに、組織はCSFの成果に基づく「組織プロファイル（現状／目標）」と「ティア（部分的／リスク情報活用／反復可能／適応の4レベル）」を用いて、現状把握と目標状態の定義、ガバナンス・マネジメントの厳重さを証明することができます。

2. CSF 2.0コアとの違い

Manufacturing ProfileはCSF 2.0のコミュニティプロファイルであり、製造セクターの共通ニーズに合わせてCSFコアの成果をOT／ICS文脈に具体化したものです。ベースのCSF 2.0（セクター・技術中立）に対し、以下の点が特徴です。

• 製造特有のミッション目標を明確化
  • 人的安全、環境安全、生産目標、製品品質、機密情報の管理を事業／ミッション目標として定義
• 影響度ベースの分類を導入
  • Federal Information Processing Standard Publication 199（FIPS 199）の考え方に沿い、Low／Moderate／Highの潜在的影響レベルを定義。操業停止の範囲・復旧時間、公共サービスへの影響、収益比、法的影響、公共の信頼など、製造経営に直結する指標例を提示。
• サブカテゴリーごとの「影響レベル別」実装ガイダンス
  • 各サブカテゴリーに対し、低・中・高の推奨（下位レベル包含）を詳細化例：ネットワーク分離や一方向ゲートウェイ、PLC（Programmable Logic Controller）／ロボットの権限管理、物理アクセス制御強化、電磁放射対策、バックアップのオフサイト・オフライン保管、遠隔保守の厳格統制、ハードウェア／ソフトウェア完全性チェックなど
• サプライチェーンリスクマネジメント（GV.SC）の具体化
  • 重要度に基づくサプライヤの優先付け、契約条項へのサイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM）要求の統合、デューデリジェンス、関係機関を通じた継続的監視、インシデント計画・対応・復旧への第三者の組み込み、関係終了時の規定などを整備
• ライフサイクルと変更管理の重視
  • 調達から廃止までのセキュリティ要求の統合、変更時のセキュリティ影響分析（SIA）、保守ツールの持ち込み管理・スキャン、記録の維持などを明示
• 関連規格との整合
  • NIST SP 800-53 Rev.5のセキュリティ管理策、NIST SP 800-82r3（OTガイド）、ISA／IEC 62443との整合を前提に実装ガイダンスを導出

また、変更履歴では、CSF 2.0への再整合（ガバナンス機能の追加、カテゴリー23から22、サブカテゴリー108から106への更新）や、サプライチェーン、プラットフォームセキュリティ、技術インフラのレジリエンスのガイダンス追加が示されています。

3. Manufacturing Profileの主なターゲットと期待される効果

主な対象は、以下を含む製造システム関係者です。

• 制御エンジニア、インテグレーター、アーキテクト（設計・実装）
• システム／ネットワーク管理者、サイバー・物理セキュリティ担当、OTオペレーター
• 製造システム管理者、上級管理職（正当化・導入の意思決定者）
• 研究者、学術機関、アナリスト

アセスメントによる期待効果は次のとおりです。

• ギャップ可視化と是正計画の優先付け
  • 影響レベル別ガイダンスと組織プロファイルを用いて現状と目標の差を体系的に把握し、ミッション影響の大きい領域に投資・改善を集中
• 許容可能なリスクでの運用確保
  • 人的／環境安全、品質、生産継続性と整合するリスク選好・許容度を明文化し、パッチ延期・リモートアクセスなどの判断基準を統一
• 標準化・継続的保証
  • バックアップ・復旧、変更・構成管理、保守、監視、インシデント対応／復旧のプロセスを標準化し、演習・テストにより継続的改善（ID.IM、RS、RC）
• サプライチェーンのレジリエンス向上
  • 契約・監査・情報共有の仕組みにC-SCRM要求を埋め込み、第三者リスクを継続監視・対応
• 組織横断コミュニケーションの強化
  • GV機能に基づく役割・責任・権限、ポリシー、指標（KPI／KRI）を整備し、経営と現場の双方向連携を促進
• セーフティとセキュリティの統合
  • フェイルセーフ、環境制御、無線の可用性・完全性確保など、OT特有の安全要件とサイバー対策の相互依存を具体化

4. Manufacturing Profileの今後のスケジュール

本プロファイルはIPDとして2025年9月に公表、パブリックコメント期間は2025年9月29日～11月17日でした。関連情報・更新・文書履歴は公開ページで提供され、提出コメントは情報公開法（FOIA）に基づき公開される場合があります。また関係組織には、公開期間中のレビューとフィードバック、進捗の継続フォローが推奨されています。

5. 製品セキュリティ関連法規・ガイドラインとの関連性考察

CSF 2.0およびManufacturing Profileは、NIST SP 800シリーズやISA／IEC 62443との整合を前提にしていますが、主な目的は組織のミッション（安全・品質・生産・機密）に沿ったサイバーリスクの把握・優先付け・改善を支援するための枠組みです。

一方で欧州サイバーレジリエンス法（CRA）は欧州における「デジタル要素を有する製品」に対する法規制であり、欧州規格ETSI EN 303 645およびTS 103 701は消費者向けのIoT製品のベースライン要求とその試験方法を提供するものであることから、本質的な目的は異なります。ただしCSFをCRA適合のための枠組みとして利用することや、CSFの成果に基づいた達成要件にETSI EN／TSを活用するといった可能性は考えられます。

例1. CSFをCRA適合支援フレームワークとして活用する場合

• ガバナンス（GV）／リスク管理（ID）：CRAのリスク分析・設計段階の義務に対し、ID.RA（脅威・脆弱性・影響・対応の特定）、GV.RM（リスク選好・方針）で体制化
• セキュア設計・保護（PR）：PR.PS（構成管理、ソフト／ハード保守・置換・削除、セキュア開発）、PR.DS（保存・転送・使用中データ保護）、PR.IR（インフラ回復力）でCRAの「セキュア・バイ・デザイン」を実装
• 脆弱性管理・開示：ID.RA-08（脆弱性開示の受領・分析・対応プロセス）、ID.RA-01（脆弱性特定）、RS／RC（対応・復旧）でポストマーケット義務に整合
• サプライチェーン：GV.SC（C-SCRM）でCRAの供給網リスク管理・契約条項化・監査を実装支援
• 文書化・監査容易性：CSFのプロファイル／指標／KPI・KRI整備により、CRAの技術文書・適合評価の根拠を体系化

例2. CSFの成果に基づいた達成要件およびその検証にETSI EN／TSを活用

• CSFの成果を「何を達成すべきか」の上位目標に、ETSI ENを「どう実装・検証するか」の具体要件・試験に落とし込む
  • 例）CSFのPR.AA（アイデンティティ／認証／アクセス制御）に基づいて EN 303 645のパスワード管理／アカウント制御要件を適用し、TS 103 701で試験
  • 例）CSFのPR.PS-02／06（ソフト更新・セキュア開発）に基づいてEN 303 645のセキュアアップデート・ソフトウェア整合性を適用し、TS 103 701で試験
  • 例）CSFのID.RA-08（脆弱性開示）に基づいてEN 303 645の開示ポリシー要件を適用し、TS 103 701で検証

6. まとめ

CSF 2.0はセクター中立の共通土台であり、組織横断の「共通言語」と成果体系を提供するものです。Manufacturing Profileはその上に、製造ミッション（安全・品質・生産・機密）の観点、影響レベル別の実装ガイダンス、C-SCRMやライフサイクル管理の具体策を追加し、OT／ICS現場に即した「実践の道しるべ」を与えます。これらの活用により、企業はサイバーセキュリティにおける現状と目標のギャップを定量的に把握し、優先度に基づく投資・是正を推進することで、サプライチェーンを含む全体レジリエンスを高め、経営から現場まで一貫した意思決定を実現できるようになるでしょう。