NISTの「Cybersecurity Framework」でクラウドのセキュリティを強化する方法組織の垣根を越えるセキュリティの共通言語

米国国立標準技術研究所(NIST)が発行した「Cybersecurity Framework」を「Amazon Web Services」(AWS)や「Microsoft Azure」などのクラウドサービスで活用して、セキュリティを強化する最善の方法を解説する。

2018年02月14日 05時00分 公開
[Ed MoyleTechTarget]

 セキュリティの専門家であれば、米国国立標準技術研究所(NIST)が発行した「Cybersecurity Framework」(CSF:サイバーセキュリティフレームワーク)については既にご存じだろう。このフレームワークがセキュリティの専門家にとって魅力がある最大の理由の1つは、セキュリティ活動の共通語を提供していることにある。つまり、企業が抱える法規制、コンプライアンス、危険因子に関係なく、CSFはセキュリティについての話し合いを標準化する手段となり、チーム、企業、業界の垣根を越えてオープンかつ直接的な対話をすることが可能になる。

 企業の種類やミッションにかかわらず、堅牢(けんろう)な警戒態勢の確保に関わる活動、対策、責任、目的は、CSFの語彙(ごい)を使用して一般化して話し合うことができる。そうすることで、セキュリティ管理の効率が向上し、大きな影響力を持てるようになる。さらに、より優れた情報共有につながる。

 CSFが公開された2014年2月の時点では、クラウド環境に関する詳細が不十分だという批判があった。それ以降、クラウドサービスベンダーによって、追加の文書が提供されている。追加の文書は、クラウドにおけるCSFの使用に関する曖昧さに対処しているだけでなく、知識と経験が豊富な専門家に便利な近道を提供するものになっている。具体的には、クラウドのセキュリティ全般に関する作業だけでなく、クラウドのコンプライアンス、評価、現行の適正評価に関する作業の近道が示されている。

 大手クラウドサービスベンダー側では、各社のサービスをCSFに合わせて調整する動きが見られる。この情報の伝達方法はベンダーによって異なるが、その内容は顧客に直接的な価値をもたらし得るものである。このことを念頭に置いて、数社のベンダーが作成して公開した成果物を詳しく見てみたい。そして、クラウドのセキュリティを確保するために、それらをどのように使えるかを考察する。

クラウドサービスベンダーによるCSFのサポート

 Amazon Web Services(AWS)は、2017年5月にホワイトペーパー「Aligning to the NIST CSF in the AWS Cloud」(AWSクラウドのNIST CSFへの準拠)を公開している。このホワイトペーパーでは、CSFの5つの分野に合わせてAWSの機能を分類した内訳の概要を提供している。そこではCSFの5分野「Identify」(特定)、「Protect」(防御)、「Detect」(検知)、「Respond」(対応)、「Recover」(復旧)が順に取り上げられ、各分野にAWSの機能が結び付けられている。

 例えば、Detect(検知)のセクションには、シンプルな通知サービス、「Amazon S3」などのアクセスログ、データベースログ、「Redshift」「Elastic MapReduce」といった検知をサポートする機能が記載されている。このセクションに含まれているのは、ログと分析を直接サポートするツールだけではない。視覚化を促進したり、顧客の脅威検出能力を強化したりする他のツールも含まれている。

 他のCSF分野についても同様の対応がなされている。さらに、このホワイトペーパーには、AWSがNIST CSFに適合することを示すCoalfire発行の民間証明書が含まれている。つまり、このホワイトペーパーは、CSFの視点でAWSの機能セットのロードマップを提供している。

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2024年3月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news175.png

AI同士が議論して商品開発のアイデア出し 博報堂が「マルチエージェント ブレストAI」の業務活用を開始
専門知識を持ったAI同士が協調して意思決定と企画生成を行う仕組みを活用。最適な結論や...

news172.jpg

デジタルサイネージ一体型自動ドアによる広告配信サービス ナブテスコが提供
ナブテスコがデジタルサイネージ一体型自動ドアを広告メディアとして利用する新サービス...