ほぼすべてのIT専門家は、サイバーセキュリティが重要であることを認識しています。しかし問題は、脅威から保護するためにどの実践と手順に従うべきかということです。
NIST準拠は、この疑問を明確にする一つの方法です。NISTのサイバーセキュリティ推奨事項に準拠することで、IT専門家はITセキュリティを強化できます。
さらに、NIST準拠は特定の組織と取引する際に必須となる場合もある。米連邦政府機関の大半がベンダーにNIST準拠を要求しているためです。
ここでは、NIST準拠の意味、準拠が義務付けられる/推奨される対象、NIST準拠のために組織が実施すべき主要なセキュリティ対策と実践について解説する。
目次
NIST準拠とは何か?
NIST準拠とは、米国国立標準技術研究所(NIST)が定めたサイバーセキュリティ推奨事項に従う実践を指します。
NISTは米国政府内の組織であり、科学技術関連の標準を開発しています。これには「NISTサイバーセキュリティフレームワーク(CSF)」として知られる一連のサイバーセキュリティ標準が含まれます。フレームワークの最新主要バージョンであるNIST 2.0は2024年に発表されました。
NIST準拠の対象となるのは?
NIST準拠は主に以下の2つのグループに関係します:
- 米国政府の請負業者およびベンダー:米国連邦政府機関と取引を行う組織は、ほとんどの場合NIST準拠が求められます。これは、米国政府が請負業者やベンダーに対し、政府資源に影響を与える可能性のあるサイバーリスクの軽減策としてNIST準拠の証明を義務付けているためです。この要件は直接の政府請負業者だけでなく下請け業者にも適用されることに留意してください。つまり、連邦政府請負業者である企業と契約する事業者は、連邦機関に影響を与える活動を行う場合、NIST準拠が必須となります。
- その他の組織:米国政府機関と(直接・間接を問わず)契約しない事業者にとって、NIST準拠は厳格な要件ではありません。しかしながら、多くの組織はサイバー衛生状態を強化する手段として、自主的にNIST CSFへの準拠を選択しています。これは特に米国企業に顕著であり、NISTは事実上、全米組織が満たすべきサイバーセキュリティ基準と見なされる傾向があるためです(世界の他の地域では、別のサイバーセキュリティ基準であるISO 27001がより一般的に使用される枠組みです)。ただし、NISTの要件は米国に特化したものではなく、あらゆる場所の組織が希望すればNIST準拠を選択できます。
したがって、技術的には米国連邦政府セクターで事業を行う企業のみにNIST CSF準拠が義務付けられていますが、サイバーセキュリティとコンプライアンス対応準備の観点から、自主的にNISTに準拠することはベストプラクティスとなり得ます。また、NIST準拠を積極的に推進することで、将来的に連邦政府の請負業者や下請け業者としての機会が生じた際に、企業がそれらを追求しやすくなります。
NIST準拠の重要性
NIST準拠の基本を説明したところで、サービス・プロバイダ(SP)と一般企業の2つの特定グループにとってNISTが重要な理由をもう少し詳しく見ていきましょう。
SPにとってNISTが重要な理由
SPにとって、NIST CSFに沿った運営は、顧客が評価する高いサイバーセキュリティ基準を設定するのに役立ちます。企業がNIST準拠であることを表明し、実証できる能力は、サイバーセキュリティへの強いコミットメントを示し、競争の激しい市場でSPが差別化を図る助けとなります。
さらに、政府部門での業務を目指すSPにとってNIST準拠は必須要件です。政府機関は通常NIST準拠を要求するため、準拠していないSPが米国連邦政府機関や請負業者にマネージドサービスを提供しようとすれば、ベンダーリスク評価に失敗するでしょう。
NISTが企業とITチームにとって重要な理由
一般企業にとって、NIST準拠を選択することは総合的なコンプライアンス準備に向けた良い一歩です。企業がどの業界で事業を展開しているかにかかわらず、NIST準拠は強固なセキュリティ態勢を確立するのに役立ち、同時に一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法(CCPA)などの他のサイバーセキュリティやデータプライバシーの枠組みへの準拠準備も整えます。
NIST CSFへの準拠は、ダウンタイムリスクの最小化と事業継続性の確保にも寄与します。これは、サイバーリスクの予防・検知に役立つ管理策や手順を定義するだけでなく、NISTがシステムのバックアップや効率的な復旧準備に関する規定を含んでいるためです。
NIST準拠のためのセキュリティ管理策
現行版のNISTフレームワークには1,000を超えるセキュリティ管理策(企業が採用すべき具体的な手順や保護策)が含まれています。全ての組織が全ての管理措置を実施する必要はありません。管理措置は、組織が管理すべきリソースの種類やリスクに関連する場合にのみ適用されます。
したがって、個々のNIST管理措置を特定して実施しようとするよりも、NISTの「管理措置ファミリー」に焦点を当てる方が合理的である場合が多いです。管理措置ファミリーとは、管理措置のグループであり、それぞれが異なるリスクカテゴリーや運用領域に関連しています。
現在、NIST管理措置ファミリーは20種類存在します:
- アクセス制御(AC):システムや情報へのアクセス権限と条件を管理します。
- 認識と訓練(AT):従業員がセキュリティリスクを認識し、セキュリティ責任を遂行するための訓練を受けることを保証します。
- 監査と説明責任(AU):システム活動を追跡し、ユーザーの行動に対する説明責任を確保します。
- 構成管理(CM):セキュリティと完全性を維持するためのシステム設定と変更を管理します。
- 緊急時対応計画(CP):緊急対応、バックアップ運用、システム復旧の準備を整える。
- 識別と認証(IA):アクセス許可前にユーザー、デバイス、プロセスの身元を検証する。
- インシデント対応(IR):サイバーセキュリティインシデントを検知、対応し、復旧する。
- 保守(MA):システム保守が安全に、かつ権限のある担当者によって実施されることを保証する。
- メディア保護(MP):機密情報を含むデジタル媒体および物理媒体を保護します。
- 物理的・環境的保護(PE):システムへの物理的アクセスを保護し、環境的脅威から防御します。
- 人的セキュリティ(PS):システムへのアクセス権限を持つ個人が適切に審査・管理されることを保証します。
- 計画(PL):セキュリティ制御の実施と管理に関する方針と計画を策定します。
- プログラム管理(PM): セキュリティプログラムに対する組織全体の監督とガバナンスを提供する。
- リスク評価(RA): 組織の運用とシステムに対するリスクを特定し評価する。
- セキュリティ評価と認可(CA): システムがセキュリティリスクについて評価され、使用が認可されることを保証する。
- システムおよび通信保護(SC): 転送中および保存中のデータを保護し、システム境界を保護する。
- システム・情報完全性(SI):システムの欠陥や不正変更を特定、報告、修正する。
- システム・サービス調達(SA):システム開発および調達ライフサイクル全体を通じてセキュリティが考慮されることを保証する。
NIST制御ファミリおよび個別制御の詳細に関する公式参照資料は、NIST要件を詳細に定義したNIST特別刊行物800-53である。
NISTサイバーセキュリティフレームワーク内のコア機能
セキュリティ制御を定義するだけでなく、NISTはサイバーセキュリティ運用を5つの主要な「機能」に分類しています:識別、保護、検知、対応、復旧。これらの機能はサイバーセキュリティ戦略を導く高レベルのフレームワークと捉え、制御は様々なリスクや脅威を軽減できる具体的な手順です。
以下にNISTの各機能を詳しく見ていきます。
識別
識別機能は、IT資産と関連リスクの評価・査定に焦点を当てます。これには、ITシステムで誰が何を実行できるかを決定するアクセス制御の評価などの実践が含まれます。リスクの優先順位付け、および攻撃者に侵害された場合に組織に最大の危険をもたらす資産の特定も、識別機能の一部です。
保護
保護機能の目的は、組織のネットワーク、クラウド環境、その他のITリソースに影響を与え得る様々なリスクを管理するための適切な保護策を実施することです。効果的なアクセス制御の実施や、従業員トレーニングなどの実践が含まれます。
検知
検知機能は、活動中のリスクと脅威の特定に焦点を当てます。理想的にはサイバーセキュリティ事象が発生しないことが望ましいですが、実際にはすべての潜在リスクを軽減することは不可能です。そのため、事象が拡大する前に検知することは、NISTのサイバーセキュリティアプローチにおけるもう一つの重要なステップです。
対応
サイバーセキュリティ脅威の検知は、組織が効果的に対応できる場合にのみ価値があります。ここで対応機能が役割を果たします。攻撃発生時に組織が攻撃を封じ込め、侵害が完全に収束するまで脅威を修復できる対応計画の策定・実行をカバーします。
復旧
NISTの最終機能である復旧は、サイバー攻撃の影響を受けたシステムの復元を焦点とします。データバックアップや復旧計画の整備など、侵害されたエンドポイント、データベース、その他の資産を最小限のデータ損失で復元するための実践が含まれます。
結論:サイバー衛生の基盤としてのNIST準拠
NISTへの厳格な準拠が義務付けられているSPや企業は少数ですが、NIST CSFの遵守が特に求められていない組織でも、NIST準拠から恩恵を得られるケースは多くあります。そのため、NISTのセキュリティ管理策と機能を理解し、それらに準拠した手順を実装することがベストプラクティスです。
これにより政府関連業務の獲得に有利になる可能性があり、たとえそれが実現しなくとも、組織のセキュリティ強化とコンプライアンス達成につながる。これは決して悪いことではない。
RSSフィードを取得する
