NIST SP 800-61改訂第3版が示す次の10年のIR標準—CSF 2.0に整合した“リスクベース×継続型”運用へ

今日の深掘りポイント

• インシデント対応ガイドの定番「SP 800-61」が13年ぶりに改訂。CSF 2.0の6機能（Govern/Identify/Protect/Detect/Respond/Recover）と直結する設計に刷新されています。
• “準備→検知→封じ込め→復旧→教訓”の線形ループから、リスク管理とガバナンスに組み込む継続プロセスへ舵を切っています。
• 役割・責任の明確化、プレイブックと自動化の前提化、可観測性の強化、サプライチェーン/クラウド/アイデンティティを含む現代的なスコープが強調されています。
• 連邦・州政府調達や大手グローバルでの標準化に波及するため、日本企業のグローバル子会社・取引先にも運用見直し圧力がかかる見通しです。
• 現場にとっては“すぐ動ける”指針の色合いが濃く、計画・演習・可観測性・SOAR自動化・ベンダ連携を90日で仕上げる実装力が差になります。

はじめに

インシデント対応ほど現場の「当たり前」が時代とともに変わる領域はありません。メールからクラウド、ID、SaaS、OT、生成AIまで、侵害の入口と伝播は拡散し、対応は“組織の意思決定”そのものになりました。NISTがSP 800-61を改訂第3版にアップデートした背景には、この現実があります。単なる手順書の更新ではなく、CSF 2.0のガバナンスとリスク管理の文脈でIR（Incident Response）を再定義する動きです。日本のCISOやSOC運用にとっても、これは「新しい基準線」を引き直す出来事です。熱量は静かに、しかし確実に現場に届きます。今、何をやり直すべきかを一緒に見定めていきます。

深掘り詳細

事実関係（一次情報ベース）

• NISTはインシデント対応ガイドの新版「Special Publication 800-61 Revision 3（SP 800-61r3）」を公開しています。新版はCSF 2.0の6機能と整合し、IRをリスク管理と一体化した継続プロセスとして扱う設計に改められています。NIST CSRC: SP 800-61 Rev.3（最終版）
• CSF 2.0は2024年に確定し、ガバナンス機能（Govern）が追加されました。これにより、方針・役割・リスク許容度・供給網の統治などをセキュリティ機能の“上位”に置き、各機能の意思決定を支える構造になっています。NIST: Cybersecurity Framework 2.0
• 参考までに、改訂の動きは業界メディアでも報じられており、最新の実務テーマ（プレイブック、自動化、チーム横断の連携）を新版の柱として位置づけています。Security Boulevardの報道

上記の一次情報が示すのは、IRを「運用の一部署の手順」から「組織リスクとガバナンスに紐づく継続的能力」へ再配置することです。

編集部の視点・示唆（現場実装へ落とす）

• 線形から“運用ループの中核”へ
  これまでの準備→検知→対応→復旧→教訓という直列プロセスは、CSF 2.0の機能にまたがる“常時運転の能力”へと再設計されています。特にGovern（方針・責任・リスク許容度）が明確にならない限り、対応速度も判断の一貫性も担保できません。IRはGovernの成果物（リスク許容度、報告ライン、供給網の合意、保険・法務条件）を前提に動くべきです。
• 可観測性と自動化は“前提装備”
  クラウド／SaaS／ID中心の攻撃では、テレメトリの不在がMTTD/MTTRを直撃します。新版文脈ではEDR/NDRに加え、クラウド監査ログ（例：CloudTrail/Azure/GCP）、SaaS監査（M365/Okta/Slackなど）、ID脅威検出、APIログの確保が“必須の基盤”になります。SOARを使った初動の自動化（封じ込め、チケット化、エビデンス収集）も、もはや“高度化”ではなく“標準化”です。
• プレイブックは“手順書”ではなく“意思決定の骨格”
  実際の事故は分岐と不確実性の連続です。プレイブックは「判断ポイント・エスカレーション・法規制トリガー・ビジネス影響の選好」を組み込む必要があります。CACAO等の機械可読化は将来の自動化の踏み台になります。
• サプライチェーンは“IR境界の外側”
  供給網の侵害（ベンダ経由の初動、アップデート改ざん、MSP/RMM悪用）はIRの“外側”で起こり、契約・可視性・SLAの不足が対応を遅らせます。SSDF（SP 800-218）の実装状況やSBOM提供、第三者アクセスの封じ込め手順をIRに統合することが欠かせません。NIST SP 800-218: SSDF

総合すると、この改訂は「信頼できる、行動に移しやすい、かつ波及が広い」タイプの更新です。日本の多国籍企業にとっても“待ったなし”のアップデートで、初動は小さくとも、設計はCSF 2.0準拠で最短距離を引くべきです。

脅威シナリオと影響

以下はMITRE ATT&CKに沿った仮説シナリオです。組織の業態・資産に合わせてテクニックIDの検出/封じ込め計画を見直すことを推奨します。仮説であり、環境に応じた適用が必要です。

• ランサムウェア（データ窃取＋二重恐喝）

  • 典型TTP（例）:
    • 初期侵入: T1566 フィッシング, T1190 公開アプリ脆弱性悪用, T1078 正規アカウント
    • 実行/権限昇格: T1059 スクリプト, T1068 権限昇格脆弱性
    • 資格情報: T1003 LSASSダンプ
    • 横展開: T1021 リモートサービス, T1077 管理共有
    • 情報外送: T1041 C2経由の外送
    • 影響: T1486 暗号化, T1490 復旧妨害
  • 影響: 復旧コストとビジネス中断が最大化し、報告規制も複雑化します。準備段階のバックアップ整合性検証とアイソレーション復旧手順が鍵になります。

• クラウドアカウント乗っ取りによる業務停止・データ流出

  • 典型TTP（例）:
    • 初期侵入: T1078 正規アカウント（MFA疲労/フィッシング）
    • 永続化/権限: T1098 アカウント操作, T1098.003 クラウド権限変更
    • 発見: T1526 クラウドサービス探索
    • 防御回避: T1578 クラウドインフラ変更
    • 外送: T1537 クラウド間データ転送
  • 影響: テナント全体の設定改変とログ破壊で検知が遅延します。クラウド監査ログの保全（改ざん耐性）とIDベースの封じ込め自動化が決定打になります。

• SaaS/OAuth同意型攻撃（BEC拡張）

  • 典型TTP（例）:
    • 初期侵入: T1566 フィッシング, T1078 正規アカウント
    • 資格情報/トークン: T1528 アクセストークン窃取
    • 永続化: T1098.005 同意付与の悪用（Consent Grant）
  • 影響: メール転送/ドメイン偽装/支払指示改ざんが連鎖し、取引先にも損害が波及します。SaaS同意監査と高リスク同意の自動失効が必須になります。

• 供給網経由（MSP/RMM悪用、信頼関係の侵害）

  • 典型TTP（例）: T1199 信頼関係, T1021 リモートサービス, T1078 正規アカウント
  • 影響: 自組織の境界外で始まるため、検知・封じ込め権限が遅延しがちです。契約SLAにIR連携（ログ提供・共同封じ込め権限・報告タイムライン）を明記することが肝要です。

ATT&CKのカバレッジは「網羅」を目指すより、「自社の事業影響を最大化する上位TTPに集中」するのが新版の思想に沿います。MITRE ATT&CK

セキュリティ担当者のアクション

“できること”を90日で積み上げるプランです。CSF 2.0とSP 800-61r3の思想を、過度な大改造なしに現場へ落とします。

• 0〜30日（現状把握と最低限の“Govern”を固める）

  • IR方針・役割・権限・報告ラインを1枚に再定義し、CSF 2.0のGovernにひもづけます（CISO/法務/広報/IT/事業責任の合意を含めます）。
  • 直近1年の重大インシデント3種（例：ランサム、クラウド乗っ取り、BEC）を選び、プレイブックの枠組み（判断ポイント、規制報告トリガー、代替オペレーション）を作ります。
  • 可観測性のギャップを棚卸し（EDR/NDR/クラウド/SaaS/ID）。保持期間、取りこぼし、相関可能性（ユーザ/端末/アプリ/テナント）を可視化します。
  • ATT&CKの上位TTPに対する検知有無を粗く棚卸しし、「見えていない」箇所を宣言します。

• 31〜60日（初動の自動化とプレイブックの実装）

  • SOARで“封じ込めの第一手”を自動化します（例：ID強制サインアウト/トークン無効化、影響ホスト隔離、悪性ドメイン封止、チケット自動発行）。
  • プレイブックはCACAO等の機械可読化も見据え、分岐とエスカレーションを明文化します。
  • ベンダ/委託先とのIR協定（ログ提供、MTTD/MTTR目標、共同調査手順、時間当たりのエンゲージメント権限）をSLAに織り込みます。
  • バックアップの整合性検証とアイソレーテッド・リカバリ演習（テーブルトップ＋技術演習）を実施します。

• 61〜90日（継続改善と“経営に見える化”）

  • 経営と事業責任者を巻き込んだクロス機能テーブルトップを実施し、意思決定のボトルネックを洗い出します。
  • メトリクスは“早さだけ”に偏らせず、意思決定の一貫性、検知の確度（誤検知率/再発率）、プレイブック網羅率、供給網の協力度（SLA順守）をバランスさせます。
  • 次年度の要求（クラウド/SaaS監査ログの標準化、ID脅威検出、SOAR拡張、サプライヤ監査の実費計上）を予算化します。
  • 法規制の報告要件（米国CIRCIAの動向、SEC開示、日本の個人情報保護委員会報告等）を一覧化し、プレイブックに“時間トリガー”として埋め込みます。

実務の勘所は、「ガバナンス→テレメトリ→自動化→演習→メトリクス」の循環を小さく速く回すことです。新版はこの循環を組織の標準動作に昇華させるための“型”を与えてくれます。

参考情報

• NIST CSRC: SP 800-61 Rev.3（最終版）: https://csrc.nist.gov/publications/detail/sp/800-61/rev-3/final
• NIST Cybersecurity Framework 2.0: https://www.nist.gov/cyberframework
• NIST SP 800-218（SSDF）: https://csrc.nist.gov/publications/detail/sp/800-218/final
• MITRE ATT&CK: https://attack.mitre.org
• 業界報道（Security Boulevard）: https://securityboulevard.com/2026/01/nist-launches-updated-incident-response-guide-2/

本稿は一次情報に即しつつ、運用の現実に刺さる視点を重ねました。読み手のみなさんの環境で“何からやるか”が曖昧になったとき、もう一度ここに戻ってチェックリストとして使っていただけるとうれしいです。IRは反射神経の勝負ですが、勝ち筋は準備と設計に宿ります。次の一手を軽やかに積み上げていきます。