どうも おかしん です。
今日は、NIST IR 8286 Rev.1を、情シスや情報セキュリティがサイバーリスクを経営判断につなげるための文書として読みます。
正式なタイトルは Integrating Cybersecurity and Enterprise Risk Management (ERM) です。日本語にすると、「サイバーセキュリティとエンタープライズリスクマネジメントを統合する」くらいでしょうか。
この文書は、サイバーリスクを情報システム部門やセキュリティ部門の中だけで閉じず、企業全体のリスク管理に接続するための考え方を示しています。
この記事で言いたいことはシンプルです。
情シスや情報セキュリティがやるべきことは、リスクを見つけて「危ないです」と報告するだけではありません。そのリスクが事業目的にどう影響するのか、どの対応を取るとどの程度リスクが残るのか、経営に何を決めてほしいのかを、リスク台帳やリスクプロファイルの形で渡せるようにすることです。
もちろん、NISTの文書をそのまま日本企業の義務として読む必要はありません。特にIR 8286には米国連邦政府の文脈も含まれます。
ただ、サイバーリスクを経営の言葉に翻訳するための型として読むと、情シスや情報セキュリティにとってかなり実務的な文書です。
NIST IR 8286 Rev.1は何の文書か
NIST IR 8286 Rev.1は、2025年12月18日にFinalとして公開された文書です。2020年10月に公開された旧版を置き換えるものです。
中心にあるテーマは、CSRMとERMの接続です。
CSRMはCybersecurity Risk Management、つまりサイバーセキュリティリスク管理です。ERMはEnterprise Risk Management、企業全体のリスク管理です。
ふだん情シスや情報セキュリティが扱うリスクは、脆弱性、設定不備、権限過多、ログ不足、SaaSの管理不備、外部委託先のリスク、ランサムウェア、メール経由の侵害、AI利用時のデータ漏えいなど、技術や運用に近い形で見えてきます。
一方で、経営が扱うリスクはもう少し広いです。
売上が落ちる。事業が止まる。顧客からの信頼を失う。法令や契約に違反する。監査で説明できない。採用や調達に影響する。市場での競争力が下がる。
IR 8286は、この2つを分けたままにしないための文書です。
サイバーリスクを、技術的な危険の一覧としてではなく、企業の目的達成に影響する不確実性として扱う。そのうえで、経営が他のリスクと比較し、優先順位や投資判断をできる形にする。
ここが、この文書の読みどころだと思います。
なぜ情シス・セキュリティに関係するのか
情シスや情報セキュリティの仕事では、リスクを説明しているのに経営判断につながらないことがあります。
「このSaaSは管理者権限が強すぎます」
「このシステムは脆弱性対応が遅れています」
「このAIツールに機密情報を入れるのは危険です」
「監査ログが足りないので調査できません」
どれも大事な指摘です。
ただ、経営から見ると、そこで知りたいのは「それで何が困るのか」「どれくらい優先すべきなのか」「いくらかけるべきなのか」「今やらないと何が起きるのか」「逆に止めると何を失うのか」です。
つまり、技術的なリスクの説明だけでは、経営の意思決定に届きにくいのです。
IR 8286は、この距離を埋めるために役立ちます。
リスクを識別する。影響を見積もる。優先順位を付ける。対応方針を決める。残るリスクを明らかにする。組織全体のリスク情報として統合する。
こうした流れを使うと、情シスや情報セキュリティは、単なる技術報告ではなく、経営の判断材料を作る役割を担えます。
これは「経営に丸投げしよう」という話ではありません。
むしろ逆です。専門家として、技術的な問題を事業影響に翻訳し、選択肢と残るリスクを整理して、経営が決めるべき論点を明確にするという話です。
まず押さえたい3つの言葉
IR 8286にはいろいろな用語が出てきますが、情シスや情報セキュリティの実務に落とすなら、まずは3つ押さえると読みやすくなります。
1つ目は、リスク台帳です。
IR 8286では、Cybersecurity Risk Register、略してCSRRという言葉が出てきます。CSRRとは、サイバーリスクを一覧化し、影響、対応方針、担当、状態などを管理する台帳です。
ここで大事なのは、単なる脆弱性一覧や課題管理表ではないということです。
リスク台帳には、「何が起きるか」だけでなく、「それが事業にどう影響するか」「今どの管理策があるか」「追加で何をするか」「対応後に何が残るか」「誰がリスクを持つか」を書く必要があります。
2つ目は、リスク選好とリスク許容度です。
リスク選好は、目的達成のためにどの程度リスクを取る意思があるかです。リスク許容度は、具体的にどの範囲までなら許容できるかです。
たとえば、売上拡大のために新しいSaaSを積極的に使いたい会社と、重要インフラのように安定提供を最優先する組織では、同じSaaS利用でも許容できるリスクが変わります。
これを情シスやセキュリティだけで勝手に決めるのは無理があります。だからこそ、経営に判断してもらうための材料が必要になります。
3つ目は、残余リスクです。
残余リスクは、対策を取ったあとにも残るリスクです。
セキュリティ対策は、リスクをゼロにするものではありません。SSO、MFA、監査ログ、DLP、EDR、バックアップ、委託先管理、利用ルール、教育などを入れても、必ず何かは残ります。
その残ったリスクを、誰が、どの前提で、どこまで受け入れるのか。
ここを曖昧にしたまま「対策しました」と言ってしまうと、事故が起きたときに、判断の所在も、前提も、説明も崩れます。
IR 8286の読みどころ
IR 8286を実務者目線で読むときのポイントは、サイバーリスクを上に持ち上げる流れです。
現場では、まず個別のリスクが見つかります。
あるSaaSに退職者アカウントが残っている。重要な業務システムでバックアップ復旧試験をしていない。AIサービスに入力してよいデータのルールがない。委託先のセキュリティ確認が契約時だけで止まっている。ログはあるが、調査に必要な粒度で保存されていない。
これらをそのまま経営会議に並べても、優先順位は決まりません。
そこで、リスク台帳に変換します。
どの業務に関係するのか。どの資産に関係するのか。リスクが顕在化すると、売上、顧客、契約、信用、法令、業務継続にどう影響するのか。現在の管理策は何か。追加対応にはどれくらいのコストや人手が必要か。対応したあとに何が残るのか。
さらに、組織全体のリスクと比較できる形にします。
サイバーリスクだけを特別扱いするのではなく、財務リスク、法務リスク、事業継続リスク、サプライチェーンリスク、レピュテーションリスクなどと並べて、どれを優先するかを判断できるようにする。
これがERMとの接続です。
IR 8286のシリーズ文書を見ると、この流れはより分かりやすくなります。
IR 8286A Rev.1は、サイバーリスクを識別し、見積もる話です。IR 8286Bは、リスクの優先順位付けを扱います。IR 8286C Rev.1は、サイバーリスク情報を企業全体のリスクプロファイルへ段階的に統合し、経営層によるガバナンス監督につなげる話です。IR 8286Dは、Business Impact Analysis、つまり事業影響分析をリスクの優先順位付けや対応に使う話です。
本記事では細かい手法までは踏み込みませんが、IR 8286本体だけで閉じず、A/B/C/Dとつながった文書群として見ると、「リスクを見つける」から「経営が判断する」までの道筋が見えてきます。
情シス・情報セキュリティは何をすればいいのか
では、情シスや情報セキュリティは何をすればいいのでしょうか。
私は、いきなり全社的なERMの仕組みを作ろうとしなくてよいと思っています。特に中小規模の組織や、専任のGRC部門がない組織では、最初から大きな仕組みにすると続きません。
まずは、重要なサイバーリスクを1つ選び、経営に出せる形で書いてみるのが現実的です。
1. 重要な業務と資産を事業目的から見る
最初に見るべきなのは、システム名ではなく業務です。
何のための業務なのか。止まると誰に影響するのか。誤ると何が壊れるのか。漏れると誰に迷惑をかけるのか。使えないとどの機会を失うのか。
たとえば「メールシステムのリスク」と書くより、「顧客対応、請求、契約連絡、インシデント通知に使うメール基盤のリスク」と書いた方が、事業影響が見えます。
「AIツールのリスク」より、「営業資料作成、社内ナレッジ検索、問い合わせ対応に使うAIツールのリスク」と書いた方が、効果とリスクを一緒に見られます。
ここは、以前書いたAIに個人情報を入れてはいけない、で思考停止していないかの話ともつながります。リスクだけでも、効果だけでも、利用判断には足りません。対象業務と対象データを見ないと、判断できないからです。
2. サイバーリスクをリスクシナリオとして書く
次に、リスクをシナリオとして書きます。
「脆弱性がある」だけでは、経営判断にはなりません。
たとえば、次のように書き換えます。
| 技術的な言い方 | リスクシナリオとしての言い方 |
|---|---|
| MFAが未適用 | フィッシングや認証情報流出により、重要SaaSへ第三者がログインし、顧客情報や契約情報へアクセスする |
| バックアップ未検証 | ランサムウェアや操作ミスで基幹データが破損したとき、復旧に想定以上の時間がかかり、請求や出荷が止まる |
| ログ保存期間が短い | 侵害や不正利用が起きたとき、影響範囲を説明できず、顧客・監査・取引先への報告が遅れる |
| AI利用ルールがない | 従業員が機密情報や個人情報を外部AIサービスへ入力し、契約違反や情報漏えいにつながる |
この形にすると、技術課題が事業上の不確実性として見えるようになります。
3. 影響を事業の言葉でそろえる
次に、影響を事業の言葉でそろえます。
セキュリティの世界では、機密性、完全性、可用性で整理することが多いです。これは大事です。
ただ、経営判断に出すなら、もう一段翻訳が必要です。
機密性の侵害は、顧客対応、契約違反、信用毀損、法令対応、営業機会損失につながるかもしれません。完全性の侵害は、誤請求、誤出荷、誤判断、監査不備につながるかもしれません。可用性の侵害は、売上停止、サポート停止、医療や公共サービスの停止、復旧費用の増加につながるかもしれません。
ここで使える補助線が、IR 8286Dで扱われるBusiness Impact Analysisです。
BIAというと、可用性や事業継続のためのものと捉えがちです。しかし、サイバーリスクをERMにつなげる文脈では、業務が損なわれたときの影響を理解し、リスクの優先順位や対応方針を決めるための材料になります。
情シスや情報セキュリティは、ここで事業部門と話す必要があります。
その業務はどれくらい止められないのか。どの情報は漏れると説明責任が重いのか。どのデータが壊れると、どの意思決定が誤るのか。どの委託先が止まると、自社のサービスも止まるのか。
この会話なしに、リスクの優先順位は決まりません。
4. 対応策と残余リスクを書く
リスクが見えたら、対応策を書きます。
ここで重要なのは、対応策を「やることリスト」で終わらせないことです。
たとえば、AIツール利用のリスクに対して、SSO、利用対象者の限定、入力禁止データの定義、ログ確認、契約条件の確認、管理者設定、利用教育を入れるとします。
それでも、入力ミスはゼロになりません。管理対象外のサービスを使う人が出る可能性もあります。サービス仕様変更への追随も必要です。ログで全てを検知できるとは限りません。
つまり、対応後にも残るリスクがあります。
IR 8286を実務で使うなら、この残余リスクを明示することが大事です。
「この対策をすれば安全です」ではなく、「この対策でこのリスクを下げます。ただし、これだけは残ります。残るリスクを受け入れるなら、この条件で利用できます」と書く。
この形にすると、経営は判断しやすくなります。
5. 経営に決めてほしいことを明示する
最後に、経営に決めてほしいことを書きます。
これは意外と抜けがちです。
リスク報告の最後が「対応が必要です」で終わっていると、経営は何を決めればよいのか分かりません。
決めてほしいことは、たとえば次のようなものです。
- 追加対策に予算を付けるか
- 対応完了まで利用範囲を制限するか
- 残余リスクを受け入れて利用を進めるか
- 事業影響が大きいため、他の施策より優先するか
- ルール違反時の責任分界や例外承認をどうするか
- どの役員または部門がリスクオーナーになるか
情シスや情報セキュリティは、技術的な正解だけを出すのではなく、経営が選べる選択肢を作る必要があります。
小さく始めるリスク台帳の項目
では、実際に何を書けばよいのか。
最初から立派なGRCツールや全社統一フォーマットを用意しなくても、まずは次のような項目で始められます。
| 項目 | 書くこと |
|---|---|
| 対象業務 | どの業務、プロセス、サービスに関係するリスクか |
| 対象資産 | システム、SaaS、データ、委託先、アカウントなど |
| リスクシナリオ | 何が起き、どのように事業へ影響するか |
| 事業影響 | 売上、業務停止、信用、法令・契約、顧客影響など |
| 発生可能性 | 高・中・低でもよいので、なぜそう見るかを書く |
| 現在の管理策 | すでに入っている対策、ルール、監視、契約、教育 |
| 追加対応 | 追加で必要な対策、期限、必要な予算や人員 |
| 残余リスク | 追加対応後にも残るリスク |
| リスクオーナー | 誰がそのリスクを保有し、判断するか |
| 経営判断事項 | 経営に承認、判断、優先順位付けしてほしいこと |
大事なのは、全部を完璧に埋めることではありません。
むしろ、空欄が見えることにも意味があります。
対象業務が書けないなら、技術課題と事業影響がつながっていません。リスクオーナーが書けないなら、誰が受け入れるリスクなのかが曖昧です。残余リスクが書けないなら、対策後に何が残るのかを説明できていません。
この空欄を埋めるために、情シス、情報セキュリティ、事業部門、法務、経理、経営が会話する。
それが、サイバーリスクをERMに接続する最初の一歩になります。
既存のセキュリティ活動とどうつなぐか
IR 8286を読むと、大きなリスク管理の仕組みを新しく作らなければいけないように見えるかもしれません。
でも、実務では既存の活動とつなぐ方が始めやすいです。
たとえば、脆弱性管理は、単にCVSSの高いものから直すだけではなく、「どの業務に関係するシステムか」「悪用されたときの事業影響は何か」「例外的に延期するなら誰が承認するか」と結びつけます。
SaaS審査は、「利用してよいか、だめか」だけではなく、「どの業務効果を取りに行くのか」「どのデータを扱うのか」「どの管理策を条件に使うのか」「残るリスクを誰が受け入れるのか」と結びつけます。
AI利用ルールは、「個人情報を入れるな」で止めるのではなく、「どの用途なら効果があり、どのデータは入れてはいけないか」「どのサービスを標準にするか」「例外利用をどう承認するか」と結びつけます。
委託先管理は、チェックシート回収で終わらせず、「その委託先が止まると自社のどの業務が止まるか」「情報漏えい時に誰へ説明が必要か」「代替手段はあるか」と結びつけます。
インシデント訓練は、手順確認だけでなく、「経営がどのタイミングで何を判断するか」「顧客、取引先、監督当局、従業員へ何を説明するか」と結びつけます。
このように見ると、IR 8286は既存活動を否定する文書ではありません。
むしろ、すでにやっているセキュリティ活動を、経営判断に接続するための整理棚として使えます。
「定量化できないから無理」と考えなくていい
サイバーリスクを経営に伝えるという話をすると、すぐに「金額換算できないとだめなのでは」と感じるかもしれません。
もちろん、可能な範囲で定量化できるなら有用です。停止時間、復旧費用、影響ユーザー数、想定売上影響、対応工数、監査対応コストなどは、判断材料になります。
ただ、最初からすべてを精密に金額換算しようとすると、手が止まります。
まず必要なのは、リスクを比較できる形にすることです。
どの業務に影響するのか。どの影響が大きいのか。今の管理策でどこまで下がっているのか。追加対応の選択肢は何か。残るリスクは誰が受け入れるのか。
高・中・低のような粗い評価でも、根拠が書かれていて、継続的に見直せるなら、何もないよりずっと前に進みます。
IR 8286の読み方としても、完璧な定量化モデルを作ることだけが目的ではありません。組織の意思決定に使えるリスク情報を作ることが目的です。
経営判断につなげるには、事業を見る必要がある
ここまで書いてきたことは、結局のところ「事業を見る」という話につながります。
同じサイバーリスクでも、事業によって重みは変わります。
成長を急ぐ新規事業では、使わないリスクや学習速度の低下が大きくなるかもしれません。バックオフィスでは、標準化と運用負荷の低減が重要かもしれません。医療、公共、インフラに近い業務では、止めないことや復旧することの重みが大きくなります。金融、法務、個人データを多く扱う業務では、信用や説明責任が事業価値に直結します。
このあたりは、別記事の情シス・情報セキュリティはどう経営と対話すればいいのかでも整理しています。
IR 8286を読むときも、ここは外せません。
リスク台帳は、セキュリティ部門の作業表ではなく、事業目的とリスクをつなぐためのものです。
だから、情シスや情報セキュリティは、技術だけでなく、対象業務、収益構造、顧客影響、契約、規制、運用余力を見に行く必要があります。
まとめ
NIST IR 8286 Rev.1は、サイバーリスクを企業全体のリスク管理に接続するための文書です。
情シスや情報セキュリティにとって大事なのは、この文書を「NISTの新しいチェックリスト」として読むことではありません。
サイバーリスクを、経営が判断できる形に翻訳するための型として読むことです。
技術的なリスクを見つける。事業影響に翻訳する。対応策を書く。残余リスクを書く。リスクオーナーを明確にする。経営に決めてほしいことを示す。
この流れができると、「危ないです」だけでも、「便利です」だけでもない会話ができます。
この効果を取りに行くなら、このリスクが増える。ここまで対策すれば、ここまでは下げられる。それでも残るリスクはこれで、受け入れるならこの条件が必要です。
そう言えるようになることが、サイバーリスクを経営判断につなげるということだと思います。
最初から全社ERMを作る必要はありません。
まずは、自社にとって重要なサイバーリスクを1つ選び、小さなリスク台帳にしてみる。
そこから、情シス・情報セキュリティと経営の会話はかなり変わるはずです。
