ブログ記事

NIST CSF (サイバーセキュリティフレームワーク)とは

Security
分で読めます

NISTとは

NIST(ニスト)とは、米国国立標準技術研究所という米国の政府機関で、科学技術分野における計測と標準化に関する研究を行っています。現代の企業が直面しているサイバー攻撃に対して、NISTはフレームワークの策定を行うことで、世界中の企業や組織にガイドラインを提供しています。

National Institute of Standards and Technologyの頭文字を取ってNISTと呼ばれています。

NIST CSFとは

企業がセキュリティ製品を導入検討する際の判断基準

NIST CSFとは、NIST サイバーセキュリティフレームワーク(Cyber Security Framework)の略で、複雑で多様なセキュリティ対策にNISTが一定の基準を設け、組織や業界を超えて包括的に利用できる枠組みのことです。NIST CSFは、企業がセキュリティ製品を導入する際の評価基準として活用が可能で、製品の妥当性を判断する基準になります。

なぜNIST CSFを導入すべきか

NISTのサイバーセキュリティフレームワークを導入することで、新たなセキュリティ製品を検討する際、効果的に判断することができます。

サイバーセキュリティフレームワークの導入を検討すべきケース:

アップデートされ続けるNIST CSF

NIST CSFは政府や企業と連携して常に検証が行われており、必要に応じて改訂が行われます。そのため、過去に発生したインシデントと対応する解決方法を参照できるメリットがあります。また、企業がサイバーセキュリティに対し、どの程度投資すべきか優先順位をつけて判断できるように策定されているため、投資家、経営者、顧客に対して根拠をもって説明することが可能になります。

NIST CSFの5つの枠組み

NIST CSFでの枠組みは大きく5つの機能に分類されます。

サイバーセキュリティフレームワークの導入を検討すべきケース:

NIST CSF(サイバーセキュリティフレームワーク)の5つの枠組みNIST CSF(サイバーセキュリティフレームワーク)の5つの枠組み

NIST SP800シリーズ

NIST SP800シリーズは、コンピュータセキュリティ関係のレポートで、企業がセキュリティ対策を実施する際に参照する文書です。包括的にセキュリティ分野を網羅し、政府機関、民間企業を問わず、セキュリティ担当者にとって有益なレポートです。

SP800-207とは

SP800-207とは、2020年8月にNISTが発行したゼロトラストアーキテクチャに関する文書です。ゼロトラスト の概念を7章立てで紹介し、企業や組織のセキュリティ向上に寄与することが期待されています。

タイトル説明
1序章ゼロトラストの背景や歴史
2ゼロトラストの基本用語定義、前提条件、ゼロトラストの考え方(理念)など、基本的な概念
3ゼロトラストアーキテクチャの論理的構成要素ネットワーク・システムなど、技術的な内容
4導入シナリオ/ユースケースリモートワーク、マルチクラウド、ゲストネットワークなど、様々な展開シナリオや事例を紹介
5ゼロトラストアーキテクチャに関連する脅威セキュリティに関する7つの脅威
6ゼロトラストアーキテクチャと既存の連邦ガイダンスとの連携の可能性米国政府のガイダンスとの整合性や慣例性
7ゼロトラストアーキテクチャへの移行現状ネットワークからの移行方法として、ピュアZTA/ハイブリッドZTAを紹介
付録A

略語

略語の説明
付録BZTAにおける現状のギャップの指摘文書作成過程に行った調査結果やフィードバック

*出典:PwCコンサルティング合同会社 NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

SailPointによるNIST CSFへの対応

SailPoint アイデンティティ・プラットフォームは、主として提供するアイデンティティ・アクセス管理機能によって、NIST CSFが列挙するサブカテゴリー108項目のうち35項目に、完全または部分的に対応しています*。

SailPoint IdentityNowの機能は、包括的なサイバーセキュリティ対策として、他のツールと組み合わせることで堅牢なリスク管理システムの構築が可能です。NIST CSFの利用は、リスクの評価と測定を目的として、多くの組織に広く受け入れられています。

*出典:SailPointによるNIST Cyber Security Frameworkへの対応

NISTがSailPointを技術協力ベンダーの1社に選定*

NISTが進める官民連携の組織、NCCoE(National Cybersecurity Center of Excellence)は2021年7月、ゼロトラストアーキテクチャを実証する技術協力ベンダー18社を発表し、SailPointテクノロジーズはその中の1社として選出されました。

このプロジェクトでは、SP 800-207に記載された理念・原則に則ったゼロトラストアーキテクチャ設計を目的とし、SailPointは実用的な運用に向けたアプローチの開発協力を行います。

*出典:https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture

NISTがSailPointを技術協力ベンダーの1社に選定

NIST CSFを導⼊した企業

ゼネラルモーターズ

よくある質問

NISTとは何ですか?

National Institute of Standards and Technologyの略称で、米国国立標準技術研究所という米国の政府機関です。科学技術分野における計測と標準化に関する研究を行っています。

NIST CSFとは何ですか?

NIST サイバーセキュリティフレームワーク(Cyber Security Framework)の略で、複雑で多様なセキュリティ対策にNISTが一定の基準を設け、組織や業界を超えて包括的に利用できる枠組みのことです。

NIST SP800シリーズとは何ですか?

コンピュータセキュリティ関係のレポートで、企業がセキュリティ対策を実施する際に参照する文書です。包括的にセキュリティ分野を網羅し、政府機関、民間企業を問わず、セキュリティ担当者にとって有益です。

SP800-207とは何ですか?

2020年8月にNISTが発行したゼロトラストアーキテクチャに関する文書です。ゼロトラストの概念を7章立てで紹介し、企業や組織のセキュリティ向上に寄与することが期待されています。

Privileged Task Automation datasheet

Privileged Task Automation: Datasheet

Improve IT operations accuracy and efficiency by automating and delegating repetitive tasks that require elevated privileges. 

View the datasheet
クラウド インフラとは

クラウド インフラとは

クラウド インフラとは、クラウド コンピューティングの枠組みを提供する、仮想化され拡張性のあるリソースの集合体で、インターネットまたは専用ネットワークを通して提供および管理されます。

記事を読む
KuppingerCole社によるアクセス ガバナンスに関するLeadership Compassレポート

KuppingerCole社によるアクセス ガバナンスに関するLeadership Compassレポート

SailPointのアイデンティティ アクセス ガバナンス(IAG)機能が「Strong Positive(ストロング ポジティブ)」を獲得した理由をご覧ください。この評価は、SailPointの提供するIAGソリューションが包括的かつ多機能であることを示すものです。

特別レポートをダウンロード

お問い合わせ

SailPoint Identity Security Cloudの
詳細をご希望ですか?

DX時代の先進的な企業が、アプリケーションやデータの安全な利用を、スピードと拡張性を持って管理・保護するという課題に、SailPointのソリューションがどのように対応できるのかご紹介します。

お問い合わせ