NISTの「Cybersecurity Framework」でクラウドのセキュリティを強化する方法組織の垣根を越えるセキュリティの共通言語

米国国立標準技術研究所(NIST)が発行した「Cybersecurity Framework」を「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスで活用して、セキュリティを強化する最善の方法を解説する。

2018年02月14日 05時00分 公開
[Ed MoyleTechTarget]

 セキュリティの専門家であれば、米国国立標準技術研究所(NIST)が発行した「Cybersecurity Framework」(CSF:サイバーセキュリティフレームワーク)については既にご存じだろう。このフレームワークがセキュリティの専門家にとって魅力がある最大の理由の1つは、セキュリティ活動の共通語を提供していることにある。つまり、企業が抱える法規制、コンプライアンス、危険因子に関係なく、CSFはセキュリティについての話し合いを標準化する手段となり、チーム、企業、業界の垣根を越えてオープンかつ直接的な対話をすることが可能になる。

 企業の種類やミッションにかかわらず、堅牢(けんろう)な警戒態勢の確保に関わる活動、対策、責任、目的は、CSFの語彙(ごい)を使用して一般化して話し合うことができる。そうすることで、セキュリティ管理の効率が向上し、大きな影響力を持てるようになる。さらに、より優れた情報共有につながる。

 CSFが公開された2014年2月の時点では、クラウド環境に関する詳細が不十分だという批判があった。それ以降、クラウドサービスベンダーによって、追加の文書が提供されている。追加の文書は、クラウドにおけるCSFの使用に関する曖昧さに対処しているだけでなく、知識と経験が豊富な専門家に便利な近道を提供するものになっている。具体的には、クラウドのセキュリティ全般に関する作業だけでなく、クラウドのコンプライアンス、評価、現行の適正評価に関する作業の近道が示されている。

 大手クラウドサービスベンダー側では、各社のサービスをCSFに合わせて調整する動きが見られる。この情報の伝達方法はベンダーによって異なるが、その内容は顧客に直接的な価値をもたらし得るものである。このことを念頭に置いて、数社のベンダーが作成して公開した成果物を詳しく見てみたい。そして、クラウドのセキュリティを確保するために、それらをどのように使えるかを考察する。

クラウドサービスベンダーによるCSFのサポート

 Amazon Web Services(AWS)は、2017年5月にホワイトペーパー「Aligning to the NIST CSF in the AWS Cloud」(AWSクラウドのNIST CSFへの準拠)を公開している。このホワイトペーパーでは、CSFの5つの分野に合わせてAWSの機能を分類した内訳の概要を提供している。そこではCSFの5分野「Identify」(特定)、「Protect」(防御)、「Detect」(検知)、「Respond」(対応)、「Recover」(復旧)が順に取り上げられ、各分野にAWSの機能が結び付けられている。

 例えば、Detect(検知)のセクションには、シンプルな通知サービス、「Amazon S3」などのアクセスログ、データベースログ、「Redshift」「Elastic MapReduce」といった検知をサポートする機能が記載されている。このセクションに含まれているのは、ログと分析を直接サポートするツールだけではない。視覚化を促進したり、顧客の脅威検出能力を強化したりする他のツールも含まれている。

 他のCSF分野についても同様の対応がなされている。さらに、このホワイトペーパーには、AWSがNIST CSFに適合することを示すCoalfire発行の民間証明書が含まれている。つまり、このホワイトペーパーは、CSFの視点でAWSの機能セットのロードマップを提供している。

ITmedia マーケティング新着記事

news002.jpg

ロシアのbotファームがXを標的に虚偽情報を拡散 どうしてこうなった?
ロシアによる生成AIとソーシャルメディアを使った世論操作が活発化している。標的とされ...

news075.png

Z世代の告白手段は「直接」が大多数 理由は?
好きな人に思いを伝える手段として最も多く選ばれるのは「直接」。理由として多くの人は...

news100.jpg

日本はなぜ「世界の旅行者が再訪したい国・地域」のトップになったのか 5つの視点で理由を解き明かす
電通は独自調査で、日本が「観光目的で再訪したい国・地域」のトップとなった要因を「期...