NISTの「Cybersecurity Framework」でクラウドのセキュリティを強化する方法：組織の垣根を越えるセキュリティの共通言語

米国国立標準技術研究所（NIST）が発行した「Cybersecurity Framework」を「Amazon Web Services」（AWS）や「Microsoft Azure」などのクラウドサービスで活用して、セキュリティを強化する最善の方法を解説する。

[Ed Moyle，TechTarget]

　セキュリティの専門家であれば、米国国立標準技術研究所（NIST）が発行した「Cybersecurity Framework」（CSF：サイバーセキュリティフレームワーク）については既にご存じだろう。このフレームワークがセキュリティの専門家にとって魅力がある最大の理由の1つは、セキュリティ活動の共通語を提供していることにある。つまり、企業が抱える法規制、コンプライアンス、危険因子に関係なく、CSFはセキュリティについての話し合いを標準化する手段となり、チーム、企業、業界の垣根を越えてオープンかつ直接的な対話をすることが可能になる。

　企業の種類やミッションにかかわらず、堅牢（けんろう）な警戒態勢の確保に関わる活動、対策、責任、目的は、CSFの語彙（ごい）を使用して一般化して話し合うことができる。そうすることで、セキュリティ管理の効率が向上し、大きな影響力を持てるようになる。さらに、より優れた情報共有につながる。

　CSFが公開された2014年2月の時点では、クラウド環境に関する詳細が不十分だという批判があった。それ以降、クラウドサービスベンダーによって、追加の文書が提供されている。追加の文書は、クラウドにおけるCSFの使用に関する曖昧さに対処しているだけでなく、知識と経験が豊富な専門家に便利な近道を提供するものになっている。具体的には、クラウドのセキュリティ全般に関する作業だけでなく、クラウドのコンプライアンス、評価、現行の適正評価に関する作業の近道が示されている。

　大手クラウドサービスベンダー側では、各社のサービスをCSFに合わせて調整する動きが見られる。この情報の伝達方法はベンダーによって異なるが、その内容は顧客に直接的な価値をもたらし得るものである。このことを念頭に置いて、数社のベンダーが作成して公開した成果物を詳しく見てみたい。そして、クラウドのセキュリティを確保するために、それらをどのように使えるかを考察する。

併せて読みたいお薦め記事

米国立標準技術研究所（NIST）のセキュリティ指針

• NISTの「IoTセキュリティガイドライン」には何が書かれているのか
• トランプ氏の「サイバーセキュリティ大統領令」を褒める人、けなす人、それぞれの見方
• いまだに誤解される「クラウドコンピューティング」、忘れがちな真の意味とは？

クラウドの本質を知る

• “オレオレクラウド”にはこりごり、クラウドの本質を知る
• エンタープライズクラウドを構成する4つの利用モデル

クラウドサービスベンダーによるCSFのサポート

　Amazon Web Services（AWS）は、2017年5月にホワイトペーパー「Aligning to the NIST CSF in the AWS Cloud」（AWSクラウドのNIST CSFへの準拠）を公開している。このホワイトペーパーでは、CSFの5つの分野に合わせてAWSの機能を分類した内訳の概要を提供している。そこではCSFの5分野「Identify」（特定）、「Protect」（防御）、「Detect」（検知）、「Respond」（対応）、「Recover」（復旧）が順に取り上げられ、各分野にAWSの機能が結び付けられている。

　例えば、Detect（検知）のセクションには、シンプルな通知サービス、「Amazon S3」などのアクセスログ、データベースログ、「Redshift」「Elastic MapReduce」といった検知をサポートする機能が記載されている。このセクションに含まれているのは、ログと分析を直接サポートするツールだけではない。視覚化を促進したり、顧客の脅威検出能力を強化したりする他のツールも含まれている。

　他のCSF分野についても同様の対応がなされている。さらに、このホワイトペーパーには、AWSがNIST CSFに適合することを示すCoalfire発行の民間証明書が含まれている。つまり、このホワイトペーパーは、CSFの視点でAWSの機能セットのロードマップを提供している。