NIST CSF 2.0 をベースとしてセキュリティ対策の「現状(成熟度)」を短時間で俯瞰できる セルフアセスメント用Webツールを作りました。
設問に答えるだけで、分野別(6 Function)の成熟度と 優先的に見直すべき領域(Top3) を把握できます。
本ツールは、できるだけ手間をかけずに NIST CSF 2.0 参照のセルフアセスメントを実施できるよう、入力の負担を抑えつつ、結果を把握しやすい形で可視化できるように設計しました。
もう一つの狙いは、アセスメント結果を「点数で終わらせない」ことです。
数値やチャートに加えて、成熟度が低い領域について 想定されるリスク と 次に取るべき対応方針 を、日本語で読みやすい形で提示することを目指しました。
スクリーンショット
トップページ(概要・免責)
ツールの位置付け、免責、回答形式、評価軸(Function)を最初に確認できます。
「上記の免責事項に同意して開始します」にチェックすると設問を開始します。
設問画面(回答入力)
左のナビでFunctionとCategoryを確認しながら、設問に対して成熟度(1〜5)または未回答/不明(NA)を選択します。
参考情報(Implementation Examples)は折りたたみで表示できます。
結果画面(サマリ)
Function別の成熟度(レーダー)と、優先的に見直すカテゴリ(Top3)を表示します。
回答率(= 評価済み率)や未評価カテゴリ数も併せて確認できます。
カテゴリ別の対策状況(Function内)
選択したFunction配下のCategoryを一覧化し、成熟度スコア(0〜100)を棒グラフで表示します。
行をクリックすると、該当カテゴリの先頭設問へ移動できます。
優先的に見直すカテゴリ(Top3)
カテゴリ内の平均成熟度スコアが低いものから最大3件を表示します(未回答/不明(NA)は平均計算に含めず、回答率(= 評価済み率)にのみ反映)。
「低成熟度(最小)」の件数をクリックすると詳細に展開できます。
Top3の詳細(低成熟度項目)
当該カテゴリのうち成熟度が低いSubcategoryを一覧表示します。
各項目には想定されるリスクと、改善の観点(対応方針)を付記しています。
これは何か(目的)
NIST CSF 2.0 は包括的なフレームワークですが、導入や見直しの初期段階では、まず次のような情報を整理したい場面があります。
- 現状を俯瞰し、分野ごとの成熟度の偏りを把握する
- 相対的に成熟度が低い領域を特定し、優先度付けの材料にする
- 未評価(未回答/不明)の項目を把握し、棚卸しの抜けを減らす
本ツールは、NIST CSF 2.0 の構造(Function / Category / Subcategory)を参考に、成熟度の現状把握に焦点を当てたセルフアセスメントとして実装しています。
ツールで分かること
本ツールでは、回答内容に基づき次の情報を表示します。
- Function別の成熟度スコア(レーダーチャート)
- 優先的に見直すべきカテゴリ(Top3)(平均成熟度スコアが低い順)
- 未評価(未回答/不明)の一覧
- (任意)低成熟度項目の一覧表示、Function内カテゴリの比較表示
- スコアやチャートによる可視化に加えて、成熟度が低い項目について 想定されるリスク と 改善のための対応方針 を、日本語で確認できる
回答形式(成熟度にフォーカス)
回答は 5段階(1〜5)+未回答/不明(NA) です。
UI上の表記に合わせると、選択肢は次のとおりです。
| 選択肢(UI表記) | 意味(目安) |
|---|---|
| 5: 定着 | 仕組みや運用が組織内に定着しており、継続的に実施できている状態 |
| 4: 概ね実施 | 原則として実施できているが、対象範囲・頻度・一部手順などに改善余地がある状態 |
| 3: 一部実施 | 一部の部署・システム・ケースでは実施しているが、全体には展開できていない状態 |
| 2: 準備中 | 方針・設計・体制づくり等は進んでいるが、運用としてはまだ十分に回っていない状態 |
| 1: 未実施 | 現時点では実施していない(未着手または実施の痕跡がない)状態 |
| 未回答/不明(NA) | 判断材料が不足している/確認が必要な状態(スコア集計には含めません) |
補足:
- NAは「未評価(後で確認)」として扱い、成熟度スコア(平均)の計算対象から除外します。
- まずは迷ったらNAにして棚卸しし、関係者確認などで情報が揃った時点で1〜5に更新する使い方を想定しています。
集計の考え方(Top3の意味)
スコアの換算(成熟度スコア)
回答(1〜5)は、次の対応で 成熟度スコア(0〜100) に換算し、回答済み(1〜5)のみを対象に平均化します(平均は四捨五入)。
- 1 → 0点 / 2 → 25点 / 3 → 50点 / 4 → 75点 / 5 → 100点
- 未回答/不明(NA)はスコア計算の対象外とし、**評価済み率(= 1〜5で回答した割合。UI上は「回答率」と表示)**として扱います
Top3の選び方(優先的に見直すカテゴリ)
Top3 は、平均成熟度スコア(0〜100)が低いカテゴリから順に抽出します。
同点の場合は、評価済み率が低いカテゴリ(= 1〜5で回答した設問の割合が低い)を優先し、最後は表示順を安定させるためカテゴリコードで整列します。
※ 1件も評価(1〜5)が付いていないカテゴリ(全てNAなど)は、Top3の対象外です(未評価カテゴリとして別途把握できます)。
利用方法
- https://nist-csf.notegridx.dev にアクセスすると、ブラウザ上でそのまま利用できます。
- 本ツールは静的なHTML/CSS/JavaScriptで構成されており、サーバサイド処理はありません。
データの取り扱い(重要)
- 回答内容は ブラウザ内でのみ処理され、サーバへ送信しません
- ブラウザを閉じたり再読み込みすると回答は消えます(自動保存しません)
- 保存が必要な場合は、利用者が明示的に JSONとしてエクスポートします
エクスポートしたJSONには、組織の対策状況等が含まれる可能性があります。保存場所・アクセス権・誤共有にご注意ください。
回答の保存と読み込み(JSON)
画面上の「回答を保存」「JSONを読み込む」から、回答内容を JSONでエクスポート/インポートできます。
ブラウザを閉じたり再読み込みすると回答は消えるため、継続利用したい場合は保存してください。保存したJSONは機密情報になり得るため、取り扱いには注意してください。
操作上のポイント
- 回答はキーボード入力にも対応しています(1〜5、0/Nで未回答/不明(NA)、左右矢印で前後に移動)。
- できるだけ入力の手間を減らすため、回答から設問移動までをキーボードだけで完結できるようにしています(マウス操作なしで連続入力が可能です)。
- 回答途中でも「結果を開く」で結果ビューを確認できます(必要に応じて途中経過の把握に利用)。
免責(要旨)
- 本ツールは NIST CSF 2.0 を参考にした 非公式のセルフアセスメントツールです。NIST による認定・承認・保証を受けたものではありません。
- 本ツールの内容(質問、解釈、集計、表示、出力)の正確性・完全性・最新性等を保証しません。
- 本ツールの利用により、事故・侵害・損失の発生防止、またはセキュリティ水準の向上を保証するものではありません。
- 本ツールにおける NIST CSF 2.0 の日本語表現は翻訳・要約(AI利用を含む)であり、公式な翻訳ではありません。正確な定義はNIST公式資料を参照してください。
ライセンス
ソースコードは MIT License で公開しています。
リンク
- ツール:https://nist-csf.notegridx.dev
- リポジトリ:https://github.com/notegridx/nist-csf-assessment
- 参考:NIST Cybersecurity Framework(CSF)
おわりに
改善提案(フィードバック)や Issue / Pull Request は歓迎します。
特に、設問文の表現や結果表示(Top3の提示方法)、組織内で共有しやすい出力(例:JSONからのレポート化)については、利用者の意見も踏まえて継続的に改善していく予定です。