NIST CSF
(サイバーセキュリティフレームワーク)とは
NISTとは
NIST(ニスト)とは、米国国立標準技術研究所という米国の政府機関で、科学技術分野における計測と標準化に関する研究を行っています。現代の企業が直面しているサイバー攻撃に対して、NISTはフレームワークの策定を行うことで、世界中の企業や組織にガイドラインを提供しています。
National Institute of Standards and Technologyの頭文字を取ってNISTと呼ばれています。
NIST CSFとは
企業がセキュリティ製品を導入検討する際の判断基準
NIST CSFとは、NIST サイバーセキュリティフレームワーク(Cyber Security Framework)の略で、複雑で多様なセキュリティ対策にNISTが一定の基準を設け、組織や業界を超えて包括的に利用できる枠組みのことです。NIST CSFは、企業がセキュリティ製品を導入する際の評価基準として活用が可能で、製品の妥当性を判断する基準になります。
NIST CSF(サイバーセキュリティフレームワーク)について詳しく知る(目次)
なぜNIST CSFを導入すべきか
NISTのサイバーセキュリティフレームワークを導入することで、新たなセキュリティ製品を検討する際、効果的に判断することができます。
サイバーセキュリティフレームワークの導入を検討すべきケース:
予期せぬセキュリティリスクや脆弱性への懸念がある
セキュリティ対策が必要なリソースか否かの判断基準がわからない
セキュリティ関連業務の優先順位のつけ方がわからない
組織としてセキュリティに対して意識が低い
アップデートされ続けるNIST CSF
NIST CSFは政府や企業と連携して常に検証が行われており、必要に応じて改訂が行われます。そのため、過去に発生したインシデントと対応する解決方法を参照できるメリットがあります。また、企業がサイバーセキュリティに対し、どの程度投資すべきか優先順位をつけて判断できるように策定されているため、投資家、経営者、顧客に対して根拠をもって説明することが可能になります。
NIST CSFの5つの枠組み
NIST CSFでの枠組みは大きく5つの機能に分類されます。
サイバーセキュリティフレームワークの導入を検討すべきケース:
NIST CSF(サイバーセキュリティフレームワーク)の5つの枠組み識別
まず、セキュリティ対策が必要なリソースを明確にします。この取り組みによって、セキュリティ対策を講じる必要のあるシステム、人、資産の理解を深めます。企業はリソースのリスク管理に優先順位をつけて対応します。
セキュリティ対策が必要なハードウェア、ソフトウェアを明確にする
社会的なインフラの中で自社ビジネスがどのような役割を担うのかを明確にする
既存のセキュリティ対策と法的に必要となるセキュリティ関連の要件を明確にする
所有するリソースの脆弱性や脅威を明確にする
リスク管理の計画と内容を確立する
防御
重要なインフラが確実に動作するための適切なルールを用意し、潜在的なサイバーセキュリティリスクを制限またはコントロールできるようにします。
アイデンティティ管理とアクセス制御の仕組みを実装する
研修プログラムを実施し従業員のセキュリティ意識を向上させる
計画されたリスク管理に従い会社の管理する情報が安全に使用される仕組みを作る
情報に関するシステムや資産の安全性を継続して確保できる施策を講じる
組織のルールに従いシステムの安全性を確保するための技術の管理を行う
検知
インシデントの発生をリアルタイムで把握するための仕組みを用意します。
セキュリティインシデントが発生した場合、検知および発生によって懸念される二次被害が無いかどうか確認する
サイバーインシデントの発生を常に監視し続けるための仕組みを構築する
資産を守るためのオンプレミス、クラウド上の仕組みに問題がないかどうか検証する
対応
発生したインシデントに対してとるべき対策を用意し、潜在的なインシデントに対してもコントロールできるようにします。
インシデント発生中、発生後に計画していた対策を確実に実施する
インシデント発生中、発生後にステークホルダー向けに必要な連絡や説明を行う
最善の対応が取れるようインシデントの内容を正確に分析する
発生したインシデントの被害が拡大しないように対策を講じる
過去および今回発生したインシデントの内容と対応を振り返り必要に応じて改善を行う
復旧
インシデントが発生し復旧が必要になったシステムを正常な状態に戻すための必要なタスクを明確にします。インシデントの影響を極力少なくするためにも即時のリカバリーが求められます。
インシデントの被害にあったシステムや資産の安全を確保するために事前に準備しておいたリカバリープランを確実に実行する
既存のベストプラクティスなどの対策を参考にリカバリープランを改善する
インシデント発生時および発生後のリカバリーに関して内部、外部ともに適切なコミュニケーションをとる
NIST SP800シリーズ
NIST SP800シリーズは、コンピュータセキュリティ関係のレポートで、企業がセキュリティ対策を実施する際に参照する文書です。包括的にセキュリティ分野を網羅し、政府機関、民間企業を問わず、セキュリティ担当者にとって有益なレポートです。
SP800-207とは
SP800-207とは、2020年8月にNISTが発行したゼロトラストアーキテクチャに関する文書です。ゼロトラスト の概念を7章立てで紹介し、企業や組織のセキュリティ向上に寄与することが期待されています。
| 章 | タイトル | 説明 |
|---|---|---|
| 1 | 序章 | ゼロトラストの背景や歴史 |
| 2 | ゼロトラストの基本 | 用語定義、前提条件、ゼロトラストの考え方(理念)など、基本的な概念 |
| 3 | ゼロトラストアーキテクチャの論理的構成要素 | ネットワーク・システムなど、技術的な内容 |
| 4 | 導入シナリオ/ユースケース | リモートワーク、マルチクラウド、ゲストネットワークなど、様々な展開シナリオや事例を紹介 |
| 5 | ゼロトラストアーキテクチャに関連する脅威 | セキュリティに関する7つの脅威 |
| 6 | ゼロトラストアーキテクチャと既存の連邦ガイダンスとの連携の可能性 | 米国政府のガイダンスとの整合性や慣例性 |
| 7 | ゼロトラストアーキテクチャへの移行 | 現状ネットワークからの移行方法として、ピュアZTA/ハイブリッドZTAを紹介 |
| 付録A | 略語 | 略語の説明 |
| 付録B | ZTAにおける現状のギャップの指摘 | 文書作成過程に行った調査結果やフィードバック |
*出典:PwCコンサルティング合同会社 NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳
SailPointによるNIST CSFへの対応
SailPoint アイデンティティ・プラットフォームは、主として提供するアイデンティティ・アクセス管理機能によって、NIST CSFが列挙するサブカテゴリー108項目のうち35項目に、完全または部分的に対応しています*。
SailPoint IdentityNowの機能は、包括的なサイバーセキュリティ対策として、他のツールと組み合わせることで堅牢なリスク管理システムの構築が可能です。NIST CSFの利用は、リスクの評価と測定を目的として、多くの組織に広く受け入れられています。
*出典:SailPointによるNIST Cyber Security Frameworkへの対応
NISTがSailPointを技術協力ベンダーの1社に選定*
NISTが進める官民連携の組織、NCCoE(National Cybersecurity Center of Excellence)は2021年7月、ゼロトラストアーキテクチャを実証する技術協力ベンダー18社を発表し、SailPointテクノロジーズはその中の1社として選出されました。
このプロジェクトでは、SP 800-207に記載された理念・原則に則ったゼロトラストアーキテクチャ設計を目的とし、SailPointは実用的な運用に向けたアプローチの開発協力を行います。
*出典:https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture
よくある質問
NISTとは何ですか?
National Institute of Standards and Technologyの略称で、米国国立標準技術研究所という米国の政府機関です。科学技術分野における計測と標準化に関する研究を行っています。
NIST CSFとは何ですか?
NIST サイバーセキュリティフレームワーク(Cyber Security Framework)の略で、複雑で多様なセキュリティ対策にNISTが一定の基準を設け、組織や業界を超えて包括的に利用できる枠組みのことです。
NIST SP800シリーズとは何ですか?
コンピュータセキュリティ関係のレポートで、企業がセキュリティ対策を実施する際に参照する文書です。包括的にセキュリティ分野を網羅し、政府機関、民間企業を問わず、セキュリティ担当者にとって有益です。
SP800-207とは何ですか?
2020年8月にNISTが発行したゼロトラストアーキテクチャに関する文書です。ゼロトラストの概念を7章立てで紹介し、企業や組織のセキュリティ向上に寄与することが期待されています。